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Parte I 


Introduccion y Conceptos Previos 


En esta parte del documento se presenta el anteproyecto, se explica el por que 
de la eleccion, y se muestra un bosquejo del diseno del trabajo final. Ademas 
se introduce al lector en los conceptos minimos que requerira para poder seguir 
el trabajo 




Capitulo 1 

Propuesta 


Orientamos nuestro problema al diseno de redes y seguridad infor- 
matica, creemos que hoy en dfa todo servicioque pueda brindar un area de 
electronica, llegaratarde o temprano a requerir el uso de unared de datos. Si 
bien muchos electronicos solicitaran ayuda al personal con experiencia en el 
tema, pretendemos que este proyecto sirva como un material de consultapara 
aquellosque deban incluir redes de datos en su trabajo y deseen disenarlas y 
ponerlas en marcha, o bien quieran hacer una depuracion ante fallas de un sis- 
tema. Si bien en la carrera se “tocan” cuestiones teoricas sobre redes de datos, 
nunca se muestra el paso a pasodel diseno y configuracion de una red “desde 
cero”. 


Nos enfocamos en una infraestructura de red complejacon el ob- 
jeto de abarcar la mayor can tidad de conceptos posiblesa fin de que sirva 
como gufa en una gran variedad de escenarios simples y algunos escenarios 
complejos. 


Para mostrar un diagrama (solo funcional, mas adelantese mostrara 
un diagrama formal: Figura 7.1, pagina70) y dar forma a la red consideremos el 
siguiente bosquejo: 


13 



Facultad Regional San Nicola 
h9cn|j:9q kg § iou 9| ?9 u 1/1100192 


Configuracion Avanzada de Redes LAN 

Bertero - Valentini 




Figura 1.1: Diagrama funcionalde la red 


Se generara un modelo real de la red propuestapara poder pro- 
bar la seguridad, y se generara un informe teorico de todos los conceptos abar- 
cados en el proyecto: DMZ, LAN, WAN, VPN, Firewall, etc. El modelo real utilizara 
en mayor medida equipos virtuales, esto tiene la intencionde dejar en eviden- 
cia la potenciade trabajar en un ambiente virtualizado, tanto para laboratories 
como para ambientesproductivos. 


1.1. Incumbenciasde Tecnicas DigitalesIII 


El proyecto abarca los siguientes temas de Tecnicas Digitales3: 


■ Virtualizacion 

■ Infraestructura de redes 

■ Seguridad Informatica 
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1.2. Materias Abarcadas 


En este problema, incluimos ademas conocimientosque incum- 
ben a otras materias de la curriculade IngenierfaElectronica: 


Medios De Enlace Enlaces inalambricos, modelo OSI, redes Canopy 
Sistemasde Comunicaciones II Ethernet, IP, Redes industriales, 


1.3. Entrevista a un Profesor 


El ingeniero Sebastian Schaller, profesor de Electronica Aplicada III 
y Sistemas de Comunicaciones II, nos ensenaa los estudiantesde electronica 
las nociones sobre redes de datos, redes industriales (Profibus, Profinet, etc.), 
entre otras tecnologfas como SDH, ATM, etc. El ingeniero Schaller trabaj a en la 
empresa SIAT con redes industriales. 

Uno puede estartentado a pensarque en la profesion del elec- 
tronico, las redes de datos no son importantes, pero hoy en dfa, el electronico 
en la planta no es solo aquel dedicado al instrumental o al hardware, sino que 
es el electronico el que tienela responsabilidad de mantenerla programacion 
de sistemas SCADAs (Supervisory Control And Data Acquisition) y RTOS (Real 
Time Operating System), los cuales requieren de forma mandatoria utilizar una 
red. 


El electronico que se encarga del software, nos dice el ingeniero 
Schaller, debe conocer sobre redes LAN, no al punto de disenaruna red, op- 
timizarla, o manejar redundancias, pero sitenera manolas herramientas para 
diagnosticaren caso de algun problema. 

^Que conceptos debe manejar entonces el electronico? 

El electronico debe conocer de modelo OSI, de cableados, de 
direccionamiento, enrutamiento y firewall basicamente, de esta manera, podra 
valersede sus conocimientospara identificar un problema de conectividad en 
lugar de sospechar de la logica del SCADA o del sistema que este desarrollando 


1.2. Materias Abarcadas 
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Capitulo 2 


Information Previa Requerida 


Resumen: Veremos al recorrer este capitulo, un diagrama formal del 
diseno de la red, definiendo su topologia y sus segmentos II? veremos 
requerimientos y algunosconceptos basicos. 


2.1. Conceptos Basicos y Generates 

2.1.1. iQue es una red informatica? 


En informatica, una red es un conjunto de equipos conectados 
por medio de cables, senales, ondas o cualquier otro metodo de transporte de 
datos, que comp arten informacion, servicios, etc. Una red de comunicaciones 
es un conjunto de medios tecnicos que permitenla comunicacion a distancia 
entre equipos autonomos. Normalmente se trata de transmitir datos, audio y 
video por ondas electromagneticas a traves de di versos medios. 


2.1.2. ^Que es un servidor? 


En informatica, un servidor es un ordenador que, formando parte 
de una red, provee servicios a otros ordenadores denominados clientes. 
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2.1.3. Tipos de redes segun el tamano 

Se distinguen diferentes tipos de redes segun su tamano, su veloci- 
dad de transferencia de datos y su alcance. Generalmente se dice que existen 
tres categorfasde redes: 


LAN (Red de area local). LAN significa Red de area local. Un conjunto 
de equipos que pertenecen a la misma organizacion y estan 
conectados dentrode un area geografica. 

MAN (Red de area metropolitana):conecta diversas LAN cercanas geografi- 
camente entre si a alta velocidad. Por lo tanto, una MAN permiteque dos 
nodos remotos se comuniquen como si fueran parte de la misma red de 
area local. Una MAN esta compuestapor conmutadores o routers conec- 
tados entre simediante conexionesde alta velocidad. 

WAN (Red de area mundial). Conecta multiples LAN entre si a traves de 
grandes distancias geograficas. La velocidad disponible en una WAN varfa 
segun el costo de las conexiones y puede ser baja. Las WAN funcionan 
con routers, que pueden elegir la ruta mas apropiada para que los datos 
lleguena un nodode la red. La WAN mas conocida es Internet. 


2.1.4. iComo elegir direcciones IP para una red? 


Una parte importante del diseno de la red, es el dimensionamiento 
(en cantidad de equipos) de la misma, en base a su dimension seran las direc- 
ciones que se elijan. Una direccion IP es una etiqueta numerica que identifica, 
de manera logica y jerarquica, a una interfaz (elemento de comunicacion/- 
conexion)de un dispositivodentro de una red. 

Las direcciones IP 1 se expresan por un numero binario de 32 bits 
permitiendo un espacio de direcciones de 4.294.967.296 (2 3 2) direcciones posi- 
bles. 


Las direcciones IP se pueden expresar como numeros de notacion 
decimal: se dividenlos 32 bits de la direccion en cuatro octetos. El valor decimal 
de cada octeto esta comprendido en el rango de 0 a 255 [el numero binario 
de 8 bits mas alto es 11111111 y esos bits, de derecha a izquierda, tienen valores 

: En este documento hablaremos siemprede IPv4, si bien en el mundo ya se esta utilizando 
IPv6 para los direccionamientos publicos, entendemos que a los fines de este proyecto (dar al 
electronico los conceptos basicosde redes) no agrega valor en ninguna circunstancia. Si es 
deseo del lector conocer este campo, recomendamos la lecturade: 

http://www.consulintel.es/ht m 1/FordPv 6/Docu m ento s/T utorial %> 2 0 %> d e 
%20IPv6.pdf 
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decimalesde 1, 2, 4, 8, 16, 32, 64 y 128, lo que suma 255]. En la expresion de 
direcciones IP en decimal se separacada octetopor un caracter unico“”. Ca- 
da uno de estosoctetos puede estar comprendido entre 0 y 255, salvo algunas 
excepciones. 


En una direccion II? se dividendos partes importantes, una parte 
de la direccion define la red y otra parte defined host (el equipo poseedor de 
esa direccion), esto se ve definidopor la mascarade red. 


2.I.4.I. Mascara de Subred 


La mascara de red es una combinacionde bits que sirve para 
delimitar el ambito de una red de computadoras. Su funcion es indicar a los 
dispositivos que parte de la direccion IP es el numerode la red, incluyendo la 
subred, y que parte es la que correspondeal host. Basicamente, mediante la 
mascara de red una computadora podra saber si debe enviar los datos dentro 
o fuerade las redes. 

A nivel tecnico, la mascara de subred es, una vez mas, una eti- 
queta binariade 32 bits que define, de los bits de la direccion II? que porciones 
la que define la red y que porcion esta libre para utilizarse por hosts, veamoslo 
ejemplificado: 


IP de Red - 


Mascara de a 
Subred " 


Porcidn de Red 

Porcidn de Hosts 

A 

192 168 1 0 

11000000 . 10101000 . 00000001 

1.00000000 

255 255 255 

0 

lllllllll. 11111111. 11111111 

1.00000000 


Figura 2.1 


Es decir, aquellos bits que valen“l” en la mascara son bits fijos de 
la direccion de tal manera que definenla red. 


2.I.4.2. Ciases y Subredes 

En 1981 el direccionamiento internet fue revisado y se introdujo la 
arquitectura de ciases (Classful Network Architecture). En esta arquitectura hay 
tres ciases de direcciones IP que una organizacion puede recibir de parte de la 


2.1. Conceptos Basicos y Generates 
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Internet Corporation for Assigned Names and Numbers (ICANN): clase A, clase 
B y clase C. 


■ En una red de clase A, se asigna el primer octeto para identificar la red, 
reservando los tres ultimos octetos (24 bits) para que sean asignados a los 
hosts, de modo que la cantidad maxima de hosts es 2 24 — 2 (se excluyen 
la direccion reservada para broadcast y de red que se explicaran mas 
adelante), es decir, 16.777.214hosts. 


■ Enunaredde claseB, se asignan los dos primeros octetos para identificar 
la red, reservando los dos octetos finales (16 bits) para que sean asignados 
a los hosts, de modo que la cantidad maxima de hosts es 2 16 - 2, o 65.534 
hosts. 


■ Enunaredde claseC, se asignan los tres primeros octetos para identificar 
la red, reservando el octeto final (8 bits) para que sea asignado a los hosts, 
de modo que la cantidad maxima de hosts es 2 8 - 2, 6 254 hosts. 


Como ya conocemos el concepto de mascara, podemos decir y 
entender que: 


Clase 


MAscara de Subred 


Clase A 
Clase B 
Clase C 


255.0.0.0 

255.255.0.0 

255.255.255.0 


Tabla2.1: Las clases y sus mascaras de subred 


Sin embargo, la existenciade estas clases, no limita la existencia 
de otras mascaras que no sean las listadas, por el contrario, podemos partir 
esas clases en subredes, por ejemplo, si soy poseedor de un segmento de 
red 

131.18.0.0/16 (Clase B) pero quiero aislar redes mas pequenas dentro de el- 
la, puedo hacerlo, podria por ejemplo generar dos subredes (practica 
conoci- da incluso en espanol como subnetting) reduciendo su capacidad a 
la mitad de hosts (en realidad no es exactamente la mitad porque se 
duplican las di- recciones reservadas para ip de red y de broadcast. Vease 
2. 1.4.3), es decir, quedarfan las redes 131.18.0.0/17 y 131.18.128.0/17, con 
capacidad 32766 hosts cada una. En general es: 
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IP de Red - 


Mascara de _ 
Subred " 


Porcidn de Red 


Porcidn de Hosts 

A 

r 

~v 

> 

132 . 18 

0 

0 

10000100.00010010 

.0000008 

10.00000000 

255 . 255 

252 

0 

11111111.11111111 

1111118 

10.00000000 


l J 



Subredes(2 B 

subredes) 


Figura 2.2 


Para no ahondar en este tema, que requiere mucha practica, re- 
comendamos hacer ejercicios y proponemos utilizar la herramienta disponible 
en http://www.subnet -calculator.com/ para chequear resultados 2 . 


2.I.4.3. Direcciones Reservadas 

■ La direccion 0.0. 0.0 es reservada por la IANA para identificacion local. 

■ La direccion que tiene los bits de host igualesa cero sirve para definir la 
red en la que se ubica. Se denomina direccion de red. En el ejemplode la 
figura 2.2 la IP de redes la 132.18.0.0 

■ La direccion que tiene los bits correspondientes a host iguales a uno, sirve 
para enviar paquetes a todos los hosts de la red en la que se ubica. Se 
denomina direccion de broadcast. Siguiendo el mismo ejemplo, la IP de 
broadcast para la red 131.18.0.0/22 es la 131.18.3.255 (10000100.00010010. 
000000 11.11111111) 

■ Las direcciones 127.x.x.x se reservan para designarla propia maquina. Se 
denomina direccion de bucle local o loopback. 


2.I.4.4. Direcciones privadas 


Hay ciertas direcciones en cada clasede direccion IP que no es- 
tan asignadas y que se denominan direcciones privadas. Las direcciones pri- 
vadas pueden ser utilizadas por los hosts que usan traduccion de direccion de 
red (NAT) para conectarse a unared publicao por los hosts que no se conectan 
a Internet. En una misma red no pueden existir dos direcciones iguales, pero si 
se pueden repetir en dos redes privadas que no tengan conexion entre si o que 
se conecten medianteel protocolo NAT. Las direcciones privadas son: 

2 Para usuarios de GNU/Linux recomendamos el software “gip” para este fin 


2.1. Conceptos Basicos y Generales 
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■ Clase A: 10.0.0.0 a 10.255.255.255 (8 bits red, 24 bits hosts). 


■ Clase B: 172.16.0.0 a 172.31.255.255 (16 bits red, 16 bits hosts). 16 redes clase 
Bcontiguas, uso en universidadesy grandes companfas. 


■ Clase C: 192.168.0.0 a 192.168.255.255 (24 bits red, 8 bits hosts). 256 redes 
clase C contiguas, uso de companfas mediasy pequenas ademas de pe- 
quenos proveedores de internet (ISP). 


2 . 2 . Modelo OSI 


El modelo de interconexion de sistemas abiertos, tambien llamado 
OSI (en ingles open system interconnection) es el modelo de red descriptivo 
creado por la Organizacion Internacional para la Estandarizacionen el ano 
1984. Es decides un marco de referencia para la definicionde arquitecturas de 
interconexion de sistemas de comunicaciones. 
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Capa de Transporte 




Capa Fisica 


Figura 2.3: Modelo OSI 


Siguiendo el esquema de este modelo se crearon numerosos pro- 
tocolos. El advenimiento de protocolos mas flexibles donde las capas no estan 
tan demarcadas y la correspondencia con los niveles no era tan clara puso 
a este esquema en un segundo piano. Sin embargo es muy usado en la en- 
senanza como una manera de mostrar como puede estructurarse una "pila" 
de protocolos de comunicaciones. El modelo especifica el protocolo que debe 
ser usado en cada capa, y suele hablarse de modelo de referenda ya que es 
usa- do como una gran herramienta para la ensenanza de comunicacion de 
redes. Este modelo esta divididoen siete capas: 


2.2. Modelo OSI 
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2.2.1. Capa fisica 

Esla que se encarga de las conexiones fisicas de la computadora 
hacia la red, tanto en lo que se refiere al medio fisico como a la forma en la que 
se transmite la informacion. Sus principales funciones se puedenresumir como: 


■ Definir el medio o medio s fisicos por los que va a viajarla comunicacion: 
cable de pares trenzados (o no, como en RS232/EIA232), coaxial, gufas de 
onda, aire, fibra optica. 

■ Definir las caracteristicas materiales (componentes y conectores mecani- 
cos) y electricas (nivelesde tension) que se van a usar en la transmision de 
los datos por los medios fisicos. 

■ Definir las caracteristicas funcionalesde la interfaz (establecimiento, man- 
tenimiento y liberacion del enlace fisico). 

■ Transmitir el flujo de bits a traves del medio. 

■ Manejarlas senales electricas del medio de transmision, polos en un enchufe, 
etc. 

■ Garantizar la conexion(aunque no la fiabilidad de dicha conexion). 


2.2.2. Capa de enlace de datos 

Esta capa se ocupa del direccionamiento fisico, de la topologia 
de la red, del acceso al medio, de la deteccionde errores y de la distribucion 
ordenada de tramas. 


2.2.3. Capa de red 

Se encarga de identificar el enrutamiento existente entre una o 
mas redes. Las unidades de informacion se denominanpaquetes, y se pueden 
clasificaren protocolos enrutables y protocolosde enrutamiento. 


Enrutables: viajan con los paquetes (IV, IPX, APPLETALK) 

Enrutamiento: permiten seleccionar las rutas (RII?IGRI? EIGI? OSPF, BGP) 
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El objetivo de la capa de red es hacer que los datos lleguen desde 
el origen al destino, aun cuando ambos no esten conectados directamente. 
Los dispositivos que facilitan tal tarea se denominan enrutadores, aunque es 
mas frecuente encontrarlo con el nombre en ingles routers. Los routers trabajan 
en esta capa, aunque pueden actuar como switch de nivel 2 en determinados 
casos, dependiendo de la funcionque se le asigne. Los firewalls actuan sobre 
esta capa principalmente, para descartar direcciones de maquinas. En este 
nivel se realiza el direccionamiento logico y la determinacion de la ruta de los 
datos hasta su receptor final. 


2.2.4. Capa de transporte 

Capa encargada de efectuarel control de flujo y el transporte de 
los datos (que se encuentran dentro del paquete)de la maquina origen a la de 
destino, independizandolo del tipo de red fisica que se este utilizando.La PDU 
de la capa 4 se llama Segmento o Datagrama, dependiendo de si corresponde 
a TCP o UDP Sus protocolos son TCP y UDP; el primero orientado a conexion y 
el otro sin conexion. Trabajan, por lo tanto, con puertos logicos y junto con la 
capa red dan forma a los conocidoscomo Sockets IPiPuerto (191.16.200.54:80). 


2.2.5. Capa de sesion 

Esta capa es la que se encarga de mantenery controlar el en- 
lace establecido entre dos computadores que estan transmitiendo datos de 
cualquier indole. Por lo tanto, el servicio provisto por esta capa es la capacidad 
de asegurarque, dada una sesion establecida entre dos maquinas, la misma 
se pueda efectuarpara las operaciones definidasde principio a fin, reanudan- 
dolas en caso de interrupcion. En muchos casos, los servicios de la capa de 
sesion son parcial o totalmente prescindibles. 


2.2.6. Capa de presentacion 

El objetivo es encargarsede la representacion de la informacion, 
de man era que aunque distintos equipos puedan tener diferentes representa- 
ciones internas de caractereslos datos lleguen de manera reconocible. 

Esta capa es la primera en trabajar mas el contenidode la comu- 
nicacion que el como se establece la misma. En ella se tratan aspectos tales 
como la semantica y la sintaxis de los datos transmitidos, ya que distintas com- 
putadoras pueden tener diferentes formas de manej arias. 


2.2. Modelo OSI 
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Esta capa tambien permite cifrar los datos y comprimirlos. Por lo 
tanto, podrfadecirseque esta capa actua comoun traductor. 


2.2.7. Capa de aplicacion 

Ofrece a las aplicaciones la posibilidad de accedera los servicios 
de las demas capas y define los protocolos que utilizan las aplicaciones para 
intercambiar datos, como correo electronico (Post Office Protocol y SMTP), ges- 
tores de bases de datos y ser vidor de ficheros (FTP), por UDP pueden viajar (DNS 
y Routing Information Protocol). Hay tantos protocolos como aplicaciones distin- 
tas y puesto que continuamente se desarrollan nuevas aplicaciones el numero 
de protocolos crece sin parar. 

Cabe aclarar que el usuario normalmente no interactua directa- 
mente con el nivel de aplicacion. Sueleinteractuar con programas que a su 
vez interactuan con el nivel de aplicacion pero ocultando la complejidad sub- 
yacente. 


2.3. Modelo TCP/IP 


El estandar historico y tecnico de la Internet es el modelo TCP/IP 
El Departamento de Defensade EE.UU. creo el modelo de referencia TCP/IP 
porque necesitaba disenaruna red que pudiera sobrevivir ante cualquier cir- 
cunstancia, incluso una guerra nuclear. 

A diferencia de las tecnologfasde networking propietarias, el TCP/IP 
se desarrollo como un estandar abierto. Esto significabaque cualquier persona 
podfausar el TCP/IP Esto contribuyoa acelerar el desarrollo de TCP/IP como un 
estandar. 


El modelo TCP/IP tiene las siguientescuatro capas: 


■ Capa de aplicacion 

■ Capa de transporte 

■ Capa de Red 

■ Capade accesoa la red 
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Aunque algunas de las capas del modelo TCP/IP tienen el mismo 
nombre que las capas del modelo OSI, las capas de ambos modelosno se 
correspondende manera exacta. Lo mas notable es que la capa de aplicacion 
posee funcionesdiferentes en cada modelo. 


Modelo OSI 

/ \ 

Capa de Aplicacion 

1 J 

/ \ 



Capa de Presentacion 






Modelo TCP 



/ \ 



Capa de Transporte 



Figura 2.4: Modelo TCP/IP 


Los disenadores de TCP/IP sintieronque la capa de aplicacion de- 
bfa incluir los detallesde las capas de sesion y presentacion OSI. Crearon una 
capa de aplicacion que maneja aspectos de representacion, codificacion y 
control de dialogo. 


2.3. Modelo TCP/IP 
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Parte II 


Documentacion Relevante 


Aqui presentamos la informacion tecnicarequerida y utilizada durante el desa- 
rrollo del proyecto 




Capitulo 3 

Virtualizacion 


En Informatica, virtualizacion se refiere a la abstraccionde los re- 
cursos de una computadora, llamadaHipervisor o VMM (Virtual Machine Moni- 
tor) que crea una capa de abstraccion entre el hardware de la maquina ffsica 
(host) y el sistema operativo de la maquina virtual (virtual machine, guest), sien- 
do un medio para crear una version virtual de un dispositivo o recurso, como un 
servidor, un dispositivo de almacenamiento, una red o inclusoun sistema oper- 
ativo, donde se divide el recurso en uno o mas entornosde ejecucion. 

Esta capa de software (VMM) maneja, gestionay arbitra los cuatro 
recursos principales de una computadora (CPU, Memoria, Red, Almacenamien- 
to) y asi podrarepartir dinamicamente dichos recursos entre todas las maquinas 
virtuales definidas en el computador central. De modo que nos permite tener 
varios ordenadores virtuales ejecutandose sobreel mismo ordenador fisico. 

La maquina virtual en general es un sistema operativo completo 
que correcomo siestuviera instaladoen una plataforma de hardware autono- 
ma. Tipicamente muchas maquinas virtuales son ejectadas enun mismo Hiper- 
visor 


Entre las ventajasde la utilizacion de la tecnologiade virtualizacion 
se puede mencionar: 


■ Rapida incorporacionde nuevos recursos para los servidores virtualizados. 

■ Reduccionde los costesde espacioy consumonecesario de forma pro- 
porcional al fndicede consolidacionlogrado (Estimacion media 10:1). 

■ Administracion global centralizada y simplificada. 
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■ Nos permite gestionar nuestro CPD como un pool de recursos o agru- 
pacionde toda la capacidad de procesamiento, memoria, red y alma- 
cenamiento disponible en nuestrainfraestructura 

■ Mejora en los procesos de clonacion y copia de sistemas: Mayor facili- 
dad para la creacion de entornos de test que permiten poner en marcha 
nuevas aplicaciones sin impactar a la produccion, agilizando el proceso 
de las pruebas. 

■ Aislamiento: un fallo general de sistema de una maquina virtual no afecta 
al resto de maquinas virtuales. Mejora de TCO y ROI. 

■ No solo aporta el beneficio directo en la reduccion del hardware nece- 
sario, sino tambien los costes asociados. 

■ Reduce los tiempos de parada. 

■ Migracionen caliente de maquinas virtuales (sin perdidade servicio) de 
un servidor fisico a otro, eliminando la necesidad de paradas planificadas 
por mantenimiento de los servidores fisicos. 

■ Balanceo dinamico de maquinas virtuales entre los servidores fisicos que 
componen el pool de recursos, garantizando que cada maquina virtual 
ejecute en el servidor fisico mas adecuado y proporcionando un consumo 
de recursos homogeneoy optimo en toda la infraestructura. 


La virtualizacion se ha convertido en nuestros dias en una herra- 
mienta indispensable en casi todos los ambitos. Tanto en el mundo empresari- 
al como para los usuarios domesticos la virtualizacion lo esta invadiendo todo 
porque aporta numerosas ventajas como las descriptas anterior mente. 

Esta tecnologfapuede clasificarse en dos grandes grupos: Virtual- 
izacion de primer nivel y Virtualizacion de segundonivel. 

De Primer Nivel 

El software de virtualizacion de tipo 1, o de primer nivel, 
se instala directamente sobre el equipo haciendo este las funciones 
tanto de sistema operativo como las de virtualizacion. 

Este metodo de virtualizacion lo utilizan sobre todo las 
empresas que pueden disponerde uno o varios servidores dedica- 
dos en exclusiva a la virtualizacion de sistemas. 

VMware ESXi, por ejemplo, es una plataformade virtu- 
alizacion de tipo 1. Este tipo de sistemas se instalan en servidores sin 


32 


Capitulo 3. Virtualizacion 


Configuracion Avanzada de RedesLAN 
Bertero - Valentini 


Facultad Regional San Nicolai 
l-gcnioq K6diou9| ?9u i/iicoigs 



ningun otro sistema operativo. El mismo lleva un nucleode Linux op- 
timizado para las tareas de virtualizacion y requiere que el hardware 
sea compatible, principalmente que el microprocesador posea el set 
de instrucciones de virtualizacion (VT-x para el caso de Intel) 



Dounload tools to Manage this host froM: 
http :// local host/ 
http://192.168.227.133/ (DHCP) 


<F2> CustoMize SysteM <F12> Shut Down/Restart 


Figura3.1: VMware ESXi 


VMware ESXi requiere ademas del servidor donde es- 
tara instalado, un clientepara administrarlo (como se notaenla cap- 
turade pantalladel servidor que se muestraen la imagen anterior) 

De Segundo Nivel 

El software de virtualizacion de tipo 2, o de segundo 
nivel, se caracteriza porque debe ser instalado en un equipo que 
cuente con un sistema operativo previo (como Ubuntu, Fedora, Mi- 
crosoft Windows o Mac OS X). 

Para un usuario domestico este es el metodo de virtual- 
izacion apropiado. 


En este grupo encontraremos una amplia variedad de 
productos, entre ellos se destacan OraclexVM VirtualBox, VMware 
Workstation, VMware Server, KVM, Microsoft Virtual PC, entre otros. 
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Figura 3.2: Oracle xVM VirtualBox 


En la imagen se ve una captura de VirtualBox, este es 
quizas uno de los hipervisores mas utilizados en la virtualizacion para 
usuarios de escritorio, ya que es gratuito, multiplataforma y muy sen- 
cillo de utilizar, ademas posee una interfaz por lfneade comandos, 
por lo que permite que las maquinas virtuales corran en segundo 
piano, y sin siquiera verlas, ofrezcan los servicios para los que fueron 
configuradas. 
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Capitulo 4 

Redes de Datos 


Resumen: Este capitulo es quizas el que abarca masconceptos y mas 
informacion tecnica, en el, el lector encontrara descriptos muchos de los 
aspectos que luego se veran puestos en practica 


4.1. Ethernet 


La mayor parte del trafico en Internet se origina y termina en co- 
nexiones de Ethernet. Desde su comienzoen la decada de 1970, Ethernet ha 
evolucionado para satisfacerla creciente demanda de LAN de alta velocidad. 
En el momento en que aparece un nuevo medio, como la fibra optica, Ethernet 
se adapta para sacar ventajade un ancho de banda superior y de un menor 
fndice de errores que la fibra ofrece. Ahora, el mismo protocolo que transporta- 
ba datos a 3 Mbpsen 1973 transporta datos a 10 Gbps. 

La idea original de Ethernet nacio del problemade permitir que 
do s o mas host utilizaran el mismo medio yevitarque las senales interfirieran en- 
tre si. El problemade acceso por varios usuarios a un medio compartido se es- 
tudioa principiosde los 70 en la Universidad de Hawai. Se desarrollo un sistema 
llamado Alohanetpara permitir que varias estaciones de las Islas de Hawai tu- 
vieran acceso estructurado a la banda de radiofrecuencia compartida en la 
atmosfera. Mas tarde, este trabajo sento las bases para el metodo de acceso 
a Ethernet conocido como CSMACD. 

CSMACD significaque se utiliza un medio de acceso multiple y 
que la estacionque desea emitir previamenteescucha el canal. 
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Una vez comenzado emitir, no para hasta terminar de enviar la 
trama completa. Si se produjera alguna colision(que dos tramas de distinta 
estacion fueran enviadas a la vez en el canal) ambas tramas seran incompresi- 
bles para las otras estaciones y la transmision fracasarfa. 

Finalmente CSMACD suponeuna mejora sobre CSMA, puesla estacion 
estaa la escuchaa la vez que emite,de forma que si detecta que se produce 
una colision, detiene inmediatamentela transmision. 

El exito de Ethernet se debea los siguientes factores: 


■ Sencillez y facilidad de mantenimiento. 


■ Capacidad para incorporar nuevas tecnologias. 


■ Confiabilidad 


■ Bajo costo de instalaciony de actualizacion. 


En 1985, el comite de estandares para Redes Metropolitanas y Lo- 
cales del Instituto de Ingenieros Electricos y Electronicos (IEEE) publico los estan- 
dares para las LAN. Estos estandares comienzancon el numero 802. El estan- 
dar para Ethernet es el 802.3. El IEEE querfa asegurar que sus estandares fueran 
compatibles con el modelo OSI de la Organizacion Internacional de Estandares 
(ISO). Por eso, el estandar IEEE 802.3 debfa cubrir las necesidadesde la Capa 
1 y de las porciones inferiores de la Capa 2 del modelo OSI. Como resultado, 
ciertas pequenas modificaciones al estandar original de Ethernet se efectuaron 
en el 802.3. 


4.1.1. Ethernet en el Modelo OSI 


Ethernet opera en dos areas del modelo OSI, la mitad inferior de 
la capa de enlace de datos, conocida como subcapa MAC y la capa ffsica. 
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Figura 4.1: Las capas de trabajo de Ethernet 


4.2. Wi-Fi 


Wi-Fi es el nombre que se le da a unared de datos inalambrica 
en particular, compatible con una gran variedad de dispositivos y usualmente 
utilizada para acceder a internet (Tal es asi, que el solo hecho de que existauna 
red Wi-Fi, hace suponeral usuario que conectandosea ella podra acceder a 
internet). 


Una red Wi-Fi es en realidad una red que cumplecon el estandar 
802.11 (y sus derivados). La especificacion IEEE 802.11 (ISO/IEC 8802-11) es un 
estandar internacional que define las caracterfsticasde unared de area local 
inalambrica (WLAN). A los dispositivos certificados por la Wi-Fi Alliance se les 
permite usar este logotipo: 



Figura 4.2 


4.2. Wi-Fi 
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Como en el caso de las redes cableadas, la IEEE es la principal 
generadora de estandares para las redes inalambricas. Los estandares han sido 
creados en el marcode las reglamentaciones creadas por el FCC: 


■ 802.11 

■ 802.11b 

■ 802. llg 

■ 802.11a 


La tecnologfa clave que conti ene el estandar 802.11 es el DSSS, 
este estandar ha cafdo en desusopor su baja velocidad de transferencia de 
datos (un maximode 2Mb). El siguiente estandar aprobado fue el 802.11b, que 
aumento las capacidadesde transmision all Mbps. 

Los dispositivos de 802.1 lb logran un mayor fndicede tasa de trans- 
ferencia de datosya que utilizan una tecnica de codificaciondiferente a la del 
802.11, permitiendo la transferencia de una mayor cantidad de datos en la mis- 
ma cantidad de tiempo. 

802.11a abarca los dispositivos WLAN que operan en la banda de 
transmision de 5 GHz. El uso del rango de 5 GHz no permite la interoperabilidad 
de los dispositivos 802.11b ya que estos operan dentro de los 2,4 GHz. 802.11a 
puede proporcionar una tasa de transferencia de datos de 54 Mbps y con una 
tecnologfa propietaria que se conoce como "duplicacionde la velocidad" ha 
alcanzado los 108 Mbps. En las redes de produccion, la velocidad estandar es 
de 20-26 Mbps. 

802.1 lgtiene la capacidad de ofrecer la misma tasa de transfe- 
rencia que 802.1 lapero con compatibilidad retrospectiva para los dispositivos 
802.11b. 


En resumen, las redes Wi-Fi a las que estamos mas habituados son 
aquellasque cumplencon el estandar 802.11b y 802.1 lg 


4.2.1. Topologia 

Si bien una red Wi-Fi se puede establecer entre dos interfaces de 
red como las que se muestranen la figura 4. 3 (topologia que se conoce como 
Ad-Hoc), se suele instalar un punto de acceso (Normalmente llamado por el 
acronimode sus siglas en ingles: AP Vease la seccion 4.4.5 en la pagina49) para 
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que actue como hub central para el modo de infraestructura de la WLAN. El AP 
(Figura 4.4) se conecta mediantecableado a la LAN a fin de proporcionar ac- 
cesoa Internet y conectividad a la red cableada. Los AP estan equipados con 
antenas y brindan conectividad inalambricaa un area especfficaque recibe el 
nombre de celda. Segunla composicion estructural del lugardonde se instalo 
el AP y del tamano y gananciade las antenas, el tamano de la celda puede 
variar enormemente. Por lo general, el alcance es de 50 a 150 metros. 



PCI USB PCMCIA 


Figura 4.3: Interfaces de red WLAN 



Figura 4.4: Access Point Cisco 


4.2.2. Seguridad de Redes Inalambricas 

Hoy en dfa, casi podrfamos asumirque hay un access point en 
cada hogar, esto tambien trae aparejado que cada vez mas gente, se interese 
en configurarlopor simisma. Se sabe que la mayoriade los usuarios hogarenos 


4.2. Wi-Fi 
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al llegar a la configuracion de la seguridad de red, aturdido por una “sopa de 
letras” de diferentes encriptaciones y metodosde autenticacion, acaban por 
dejar sus redes sin ninguna proteccion. Como se pretende que este documento 
sirva de gufapara un personal tecnico no especializado en redes, se quiere 
comenzaresta seccioncon un pequeno “diccionario” de todo lo que se puede 
encontraren materia de seguridad de redes inalambricas. 


WEP: Wired Equivalent Privacy. Es el antiguo y original metodo de 
autenticacion y encriptacion. Actualmente es facilmente vulnerado. 

WEP 40/128-bit key, WEP 128-bit Passphrase: Ver WEP La clave wep es de 
40 6 128 bits de longitud, es por eso que muchas veces WEP se 
encuentra expresadode esa manera. 

WPA, WPA1: Wi-Fi Protected Access. La version inicial de WPA, a veces llamada 
WPA1, Es esencialmente un nombre comercial para TKIP TKIP fue elegido 
como un estandar intermedioya que podia implementarse en hardware 
compatible con WEP con solo una actualizacionde firmware. 

WPA2: El nombre comercial de una implementaciondel estandar 802. lli, in- 
cluyendo AES y CCMP 

TKIP: Temporal Key Integrity Protocol. El sistema de encriptacion definidopara 
reemplazar a WEP Muchas caracterfsticas nuevas fueron anadidas para 
hacerde las claves bajo TKIP mas seguras que en WEP 

AES: Advanced Encryption Standard. Actualmente es el metodo de encriptacion 
preferido, reemplazando al viejo TKIP AES se implementaen WPA2/802.1 li. 

Dynamic WEP (802.1x): Cuando la clave WEP es ingresada por un 
servicio de administracionde claves. WEP por si mismo no soportaba las 
claves dinamicas, esta caracteristica se agrego con el advenimientode 
TKIP y CCMP 

EAP: Extensible Authentication Protocol. Una estructura estandar para la au- 
tenticacion. EAP provee funciones comunes y un mecanismode nego- 
ciacion, pero no un metodo especfficode autenticacion. Actualmente 
existenalrededor de 40 metodos diferentes para trabajar con EAP 

802.1x, IEEE8021X: El estandar de IEEE para autenticacion en redes. 

LEAI$ 802.1x EAP (Cisco LEAP): Lightweight Extensible Authentication Protocol. 
Un metodo propietario de autenticacion a redes inalambricas desarrolla- 
do por Cisco Systems. Soporta WEP dinamico, RADIUS y reautenticacion 
frecuente. 

WPA-PSK: WPA-Preshared Key. Se usa una clave compartida, una clave config- 
urada manualmente y administrada manualmente. No es recomendable 
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para una gran red, tanto por administracion como por seguridad, pero 
en contraparte no requiere ningun tipo de sistema de administracion de 
claves, lo que lo hace ideal para entornos pequenos. 

RADIUS: Remote Authentication Dial In User Service. Un protocolo antiguo pero 
vigenteque sirve para centralizar la autenticacion y la administracion de 
la autorizacion. Un servidor RADIUS actua como servicio remoto para este 
fin. 

WPA Enterprise, WPA2 Enterprise: La marca comercialque agrupa algunasvar- 

iedadesde EAP (EAP-TLS, EAP-TTLS/MSCHAPv2, PEAPvO/EAP-MSCHAPv2, PEAPvl/EAP- 
GTC y EAP-SIM) 

WPA-Personal, WPA2 -Personal: Equivalente a WPA-PSK. 

WPA2-Mixed: Soporta tanto WPA como WPA2 en un mismo access point. 

802.11i: un estandarde la IEEE que especifica los mecanismosde seguridad 
para redes 802.11. 802.11i usa AES e incluye mejoras en la administracion 
de claves, autenticacion de usuarios a traves de 802. IX y maneja integri- 
dad de datos. 

CCMP: Counter Mode with Cipher Block Chaining Message Authentication Code 
Protocol. Un protocolode encriptacionbasado en AES. 


WEP es un metodo de seguridad de red antiguo que todavfaesta 
disponible para dispositivos antiguos, pero que ya no se recomiendausar. Cuan- 
do se habilita WEP se configura una clave de seguridad de red. Esta clave cifra 
la informacion que un equipo envfa a otro a traves de la red. Sin embargo, la 
seguridad WEP es relativamente facil de vulnerar. 

Actualmente no es recomendable usar WEP en ambientes donde 
la privacidad es importante. WPA o WPA2 son mas seguros. Si prueba WPA o 
WPA2 y no funcionan, se recomienda que actualice su adaptador de red a 
uno que sea compatible con WPA o WPA2. 

WPA cifra la informacion y tambien comprueba que la clave de 
seguridad de red no haya sido modificada. Ademas, WPA autenticaa los usuar- 
ios con el fin de garantizar que unicamente los usuarios autorizados puedan 
teneracceso a la red. 

Existen dos tipos de autenticacion WPA: WPA y WPA2. WPA se ha 
disenadopara trabajar con todoslos adaptadores de red inalambrica, pero es 
posibleque no funcionecon enrutadores o puntos de acceso antiguos. WPA2 
es mas seguro que WPA, pero no funcionara con algunos adaptadores de red 
antiguos. WPA se ha disenadopara utilizarse con un servidor de autenticacion 
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802. lx, que distribuye claves diferentes a cadausuario. Esto se denomina WPA- 
Enterprise o WPA2-Enterprise. Tambien se puede usar en el modo de clave pre- 
viamente compartida (PSK), dondecada usuario recibe la misma frase de con- 
tras en a. Esto se denomina WPA-Personal o WPA2-Personal. 

La autenticacion 802. lx puede ayudara mejorar la seguridad de 
las redes inalambricas 802.11 (y de las redes Ethernet con cable). 802. lx utiliza 
un servidor de autenticacion para validara los usuarios y proporcionar acceso 
a la red. En las redes inalambricas, 802. lx puede funcionarcon claves WEP (Pri- 
vacidad equivalente por cable) o WPA (Acceso protegido Wi-Fi). Esta tipo de 
configuracion se suele utilizar al conectarsea unared de area de trabajo. 


4.3. Capa de transporte 


Las tareas principales de la capa de transporte, la Capa 4 del 
modelo OSI, son transportar y regular el flujo de informacion desde el origen 
hasta el destino, de forma confiable y precisa. El control de extremo a extremo 
y la confiabilidad se suministran a traves de ventanas deslizantes, numeros de 
secuenciay acusesde recibo. 

El transporte confiable puede lograr lo siguiente: 


■ Asegurarsede que se acuse recibo de los segmentos entregados 

■ Realizar la retransmision de cualquiersegmento que no genere acuse de 
recibo 

■ Volver a ponerlos segmentos en su secuencia correcta en el destino 

■ Evitar y controlar la congestion 


Para comprender que son la confiabilidad y el control de flujo, 
piense en alguien que estudia un idioma extranjero durante un ano y luego 
visita el pafsen el que se habla ese idioma. Mientrasuno conversa, las palabras 
se deben repetir para que exista confiabilidad y se debe hablar lentamente 
de modo que el significado de la conversacion no se pierda; esto es lo que se 
denomina control de flujo. 

La capa de transporte brinda servicios de transporte desde el host 
origen hasta el host destino. Establece una conexion logica entre los puntos de 
terminacion de la red. Los protocolosde la capa de transporte segmentan y 
reensamblan los datos mandados por las aplicacionesde capas superiores en 
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el mismo flujo de datosde capa de transporte. Este flujo de datosde la capa 
de transporte brinda servicios de transporte de extremo a extremo. 


4.3.1. Protocolo para el Control de la Transmision (TCP) 

El Protocolo para el control de la transmision (TCP) es un protocolo 
de Capa 4 orientado a conexion que suministra una transmision de datos full- 
duplex confiable. TCP forma parte de la pila del protocolo TCP/IP En un entorno 
orientado a conexion, se establece una conexion entre ambos extremos antes 
de que se pueda iniciar la transferencia de informacion. TCP es responsable por 
la division de los mensajes en segmentos, reensamblandolos en la estacion des- 
tino, reenviando cualquiermensaje que no se haya recibido y reensamblando 
mensajes a partir de los segmentos. TCP suministra un circuito virtual entre las 
aplicaciones del usuario final. 

Los protocolos que usan TCP incluyen FTP HTTP SMTP Telnet, entre 
otros(Vease la seccion4.5 en la pagina 55). 


4.3.2. Protocolo de Datagrama de Usuario (UDP) 

El Protocolo de datagrama de usuario (UDP: User Datagram Pro- 
tocol) es el protocolo de transporte no orientado a conexion de la pila de pro- 
tocolo TCP/IP El UDP es un protocolo simple que intercambiadatagramas sin 
acuse de recibo ni garantf a de entrega. El procesamiento de errores y la re- 
transmision deben ser manejados por protocolos de capa superior. 

El UDP no usa ventanas ni acusesde recibo de modoque la con- 
fiabilidad, de ser necesario, se suministra a traves de protocolos de la capa de 
aplicacion. El UDP esta disenado para aplicaciones que no necesitan ensam- 
blar secuenciasde segmentos. 

Los protocolos que usan UDP incluyen TFTP SNMP DHCP DNS, entre 
otros(Vease la seccion4.5 en la pagina 55). 


4.3.3. Numeros de puerto TCP y UDP 

Tanto TCP como UDP utilizan numeros de puerto (socket) para en- 
viar informacion a las capas superiores. Los numeros de puerto se utilizan para 
mantener un registro de las distintas conversaciones que atraviesan la red al 
mismo tiempo. 
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Los programadores del software de aplicacion han aceptado us- 
ar los numeros de puerto conocidos que emite la IAN A. Cualquier conversacion 
dirigida a la aplicacion FTP usa los numeros de puerto estandar 20 y 21. El puer- 
to 20 se usa para la parte de datos y el puerto 21 se usa para control. A las 
conversacionesque no involucran ninguna aplicacion que tenga un numero 
de puerto bien conocido, se les asignan numeros de puerto que se seleccionan 
de forma aleatoria dentro de un rango especffico por encimade 1023. Algunos 
puertos son reservados, tanto en TCP como en UDP, aunque es posible que al- 
gunas aplicaciones no esten disenadaspara admitirlos. Los numeros de puerto 
tienen los siguientes rangos asignados: 


■ Los numeros inferiores a 1024 corresponden a numeros de puerto bien 
conocidos. 

■ Los numeros superiores a 1024 son numeros de puerto asignados de forma 
dinamica. 

■ Los numeros de puerto registrados son aquellos numeros que estan registra- 
dos para aplicaciones especfficasde proveedores. La mayoriade estos 
numeros son superiores a 1024. 


Los sistemas finales utilizan numeros de puerto para seleccionar la aplicacion 
adecuada. 


4.4. Dispositivos de Red 

4.4.1. Hub 


Los hubs en realidad son repetidores multipuerto. En muchos ca- 
sos, la diferencia entre los dos dispositivos radica en el numero de puertos que 
cada uno posee. Mientras que un repetidor 1 convencional tiene solo dos puer- 
tos, un hub por lo general tiene de cuatro a veinticuatro puertos. Los hubs por lo 
general se utilizan en las redes Ethernet (aunque han cafdo en desuso), aunque 
hay otras arquitecturas de red que tambien los utilizan. El uso de un hub hace 
que cambie la topologfade la red desde un bus lineal, donde cada dispos- 
itivo se conecta de forma directa al cable, a una en estrella. En un hub, los 
datos que llegana un puerto del hub se transmitende forma electricaa todos 
los otros puertos conectadosal mismo segmento de red, salvo a aquel puerto 
desde donde enviaronlos datos. 

*No se describio el repetidor ya que es un dispositivo que no hace masque regenerar la senal 
repitiendola. No merece explicacion alguna 


44 


Capitulo 4. Redes de Datos 


Configuracion Avanzada de Redes LAN 
Bertero - Valentini 



Los hubs vienen en tres tipos basicos: 


Pasivo: Un hub pasivo sirve solo como punto de conexionfisica. No manipula 
o visualizael traficoque lo cruza. No amplifica o limpiala senal. Un hub 
pasivo se utiliza solo para compartir los medios fisicos. En si, un hub pasivo 
no requiere energia electrica. 

Activo: Se debe conectarun hub activo a un tomacorriente porque necesita 
alimentacionpara amplificar la senal entrante antes de pasarla a los otros 
puertos. 

Inteligente: A los hubs inteligentes a veces se los denomina "smart hubs". 
Es- tos dispositivos basicamente funcionan como hubs activos, pero 
tambien incluyen un chip microprocesador y capacidades diagnosticas. 
Los hubs inteligentes son mas costosos que los hubs activos, pero resultan 
muy utiles en el diagnosticode fallas. 


Los dispositivos conectados al hub reciben todo el traficoque se 
transporta a traves del hub. Cuantos mas dispositivos estan conectados al hub, 
mayores son las probabilidades de que haya colisiones. Las colisiones ocurren 
cuando dos o mas estaciones de trabajo envfan al mismo tiempo datos a traves 
del cable de la red. Cuando esto ocurre, todos los datos se corrompen. Cada 
dispositivo conectado al mismo segmentode red se considera un miembro de 
un dominiode colision. 

Algunas veces los hubs se llaman concentradores, porque los hubs 
sirven como punto de conexion central para una LAN de Ethernet. 


4.4.2. Bridge 


A veces, es necesario dividir una LAN grande en segmentos mas 
pequenosque sean mas facilesde manejar. Esto disminuye la cantidadde trafi- 
co en una sola LAN y puede extender el area geografica mas allade lo que una 
sola LAN puede admitir. Los dispositivos que se usanpara conectar segmentos 
de redes son los bridges (puentes), switches (conmutadores), routers (entruta- 
dores) y gateways (puertas de enlace). Los switches y los puentes operan en la 
capa de enlace de datos del modelode referencia OSI. La funcion del puente 
es tomar decisiones inteligentes con respecto a pasar senaleso no al segmento 
siguientede la red. 


4.4. Dispositivos de Red 
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Figura 4.5: Bridge (Puente) 


Cuando un puente recibe una trama a traves de la red, se busca 
la direccion MAC destinoen la tabla de puenteo para determinar si hay que 
filtrar, inundar, o copiar la trama en otro segmento. El proceso de decision tiene 
lugar de la siguiente forma: 


■ Si el dispositivo destino se encuentra en el mismo segmento que la trama, 
el puente impideque la trama vaya a otros segmentos. Este proceso se 
conoce como filtrado. 


■ Si el dispositivo destino esta en un segmento distinto, el puente envia la 
trama hasta el segmento apropiado. 


■ Si el puente desconoce la direccion destino, el puente envia la trama a 
todos los segmentos excepto aquel en el cual se recibio. Este proceso se 
conoce como inundacion. 


■ Si se ubicade forma estrategica, un puente puede mejorar el rendimiento 
de la red de maneranotoria. 


46 


Capitulo 4. Redes de Datos 




Configuracion Avanzada de RedesLAN 
Bertero - Valentini 




acultad Regional San Nicolai 

'hSCniHSq K6dlOU9| ?9U |/|ICO|92 


4.4.3. Switch 


Un switch se describe a veces como un puente multipuerto. Mien- 
tras que un puente tipico puede tener solo dos puertos que enlacen dos seg- 
mentos de red, el switch puede tener varios puertos, segun la cantidadde 
segmentosde red que sea necesario conectar. A1 igual que los puentes, los 
switches aprenden determinada informacion sobre los paquetes de datosque 
se reciben de los distintos equipos de la red. Los switches utilizan esa 
informacion para crear tablas de enviopara determinarel destinode los datos 
que se estan mandandode un host a otrode la red. 

Aunque hay algunas similitudes entre los dos, un switch es un dis- 
positivo mas sofisticado que un puente. Un puente determina si se debe enviar 
unatramaal otrosegmento de red, basandoseen la direccion MAC destino. Un 
switch tiene muchos puertos con muchos segmentos de red conectados a ellos. 
El switch elige el puerto al cual el dispositivo o estacionde trabajo destino esta 
conectado. Los switches Ethernet estan llegando a ser soluciones para conec- 
tividadde uso difundido porque, al igual que los bridges, mejoran el rendimiento 
de la red al mejorar la velocidad y el ancho de banda. 



Figura 4.6: Switch (Conmutador) 


La conmutacion es una tecnologfa que alivia la congestion en 
las LAN Ethernet, reduciendo el trafico y aumentando el ancho de banda. Los 
switches pueden remplazar a los hubs con facilidad debido a que ellos funcio- 
nan con las infraestructuras de cableado existentes. Esto mejora el rendimiento 
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conun mmimode intrusion en la red ya existente. 


Actualmenteen la comunicacion de datos, todoslos equipos de 
conmutacion realizan dos operaciones basicas: La primera operacion se llama 
conmutacion de las tramas de datos. La conmutacion de las tramas de datos 
es el procedimiento mediante el cual una trama se recibe en un medio de en- 
trada y luego se transmite a un medio de salida. El segundoes el mantenimiento 
de operaciones de conmutacion cuando los switch crean y mantienen tablas 
de conmutacion y buscan loops. Los switches operan a velocidades mucho 
mas altas que los puentes y pueden admitir nuevas funcionalidades como, por 
ejemplo, las LAN virtuales (VLANs). 



Todo el trafico visible 
en el segmento 



Rutas de trafico multiples 
dentro del switch 


Figura4.7: Rutas dedicadas entre hosts en un Switch 


Un switch Ethernet ofrece muchas ventajas. Un beneficio es que 
un switch para Ethernet permite que varios usuarios puedan comunicarse en 
paralelo usando circuitos virtuales y segmentosde red dedicados en un en- 
torno virtualmente sin colisiones (Figura 4.7). Esto aumenta al maximo el ancho 
de banda disponibleen el medio compartido. Otra de las ventajas es que de- 
splazarse a un entorno de LAN conmutado es muy economico ya que el hard- 
ware y el cableado se pueden volver a utilizar. 


4.4.4. Router 

Un router — anglicismo a veces traducido en espanol como en- 
caminador o enrutador — es un dispositivo de hardware us ado para la inter- 
conexion de redes informaticas 2 que permite asegurar el direccionamiento de 
paquetes de datos entre ellas o determinar la mejor ruta que deben tomar. 
Opera en la capa tres del modelo OSI 

2 Recuerde lo visto en la seccion 2.1.4 acerca de subredes. Pagina 18 
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Los routers son los responsables, por ejemplo, de enrutar paquetes 
de datosdesdesu origenhasta su destinoen la LAN, y de proveer conectividad 
a la WAN. Dentrode un entornode LAN, el router contiene broadcasts, brinda 
servicios locales de resolucionde direcciones, tal como ARIJypuede segmentar 
la red utilizando una estructura de subred. Para brindarestos servicios, el router 
debe conectarsea la LAN y a la WAN. 


4.4.5. Access Point 


El Access Point o AP, es aquel dispositivo con la capacidad de ac- 
tuar como un switch para el caso de redes inalambricas (Vea la seccion 4.2.1). 
Cuando se activa un cliente inalambrico dentro de la LAN, la red comenzara 
a “escuchar”para ver si hay un dispositivo compatible con el cual “asociarse”. 
Esto se conoce como “escaneo”. El escaneo activohace que se envie un pe- 
dido de sondeo desde el nodo inalambrico que busca conectarse a la red. 
Este pedido de sondeo incluira el Identificador del Servicio (SSID) de la red a la 
que se desea conectar. Cuando se encuentra un AP con el mismo SSID, el AP 
emite una respuesta de sondeo y se completan los pasos de autenticacion y 
asociacion. 


Para brindar servicio a areas mas extensas, es posible instalar multi- 
ples puntos de acceso con cierto grado de superposicion. Esta superposicion 
permitepasar de una celda a otra (roaming). Esto es muy parecidoa los servi- 
cios que brindanlas empresas de telefonos celulares. La superposicion, en redes 
con multiples puntos de acceso, es fundamental para permitir el movimiento de 
los dispositivos dentro de la WLAN. Aunque los estandares del IEEE no determi- 
nan nada al respecto, es aconsejable una superposicion de entre un 20 y un 
30 % . Este fndice de superposicion permitirael roaming entre las celdas y asi la 
actividad de desconexiony reconexion no tendra interrupciones. 
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Figura4.8: Infraestructura de APs superpuestospara Roaming 


4.4.6. Firewall 


Un cortafuegos (comunmente llamado firewall incluso en lenguas 
hispanoparlantes) es una parte de un sistema o una red que esta disenada 
para bloquearel acceso no autorizado, permitiendo al mismotiempo comuni- 
caciones autorizadas. 

Se trata de un dispositivo o conjunto de dispositivos configurados 
para permitir o denegar el trafico entre los diferentes ambitos sobre la base de 
un conjuntode reglas y otros criterios. 

Los firewalls pueden ser implementadosen hardware o software, 
o una combinacionde ambos. Se utilizan con frecuencia para evitar que los 
usuariosde Internet no autorizados tengan acceso a redes privadas conec- 
tadas a Internet. Todos los mensajesque entren o salgan de la intranet pasan 
a traves del firewall, que examinacada mensajey bloquea aquellosque no 
cumplen los criterios de seguridad especificados. Tambien es frecuente conec- 
tar al cortafuegos a una tercera red, llamada Zona desmilitarizada o DMZ, en la 
que se ubican los servidores de la organizacion que deben permanecer acce- 
sibles desdela red exterior (Vease la seccion 6). 
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4.4.6.I. Primera Generacion: Filtradode Paquetes 


El primer documento publicado para la tecnologfa firewall data 
de 1988, cuando un equipo de ingenieros desarrollo los sistemasde filtro cono- 
cidos como firewall de filtrado de paquetes. Este sistema, bastante basico, fue 
la primera generacion de lo que se convertirfa en una caracterfstica mas tecni- 
ca y evolucionadade la seguridadde Internet. 

El filtrado de paquetes actua mediantela inspeccionde los pa- 
quetes (que representan la unidad basica de transferencia de datos entre orde- 
nadores en Internet). Si un paquete coincide con el conjuntode reglas del filtro, 
el paquete se reducira (descarte silencioso) o sera rechazado (desprendien- 
dosede el y enviandouna respuesta de error al emisor). Este tipo de filtrado de 
paquetes no presta atencion a si el paquete es parte de una secuenciaexis- 
tente de trafico.En su lugar, se filtra cada paquete basandose unicamenteen 
la informacion contenidaen el paquete en sfmismo. 


4.4.6.2. Segunda generacion: Firewall de estado 


Durante 1989 y 1990, tres colegas de los laboratories AT&T Bell, de- 
sarrollaron la segunda generacion de servidores de seguridad. Esta segunda 
generacion cortafuegos tiene en cuenta ademas la colocacionde cada pa- 
quete individual dentro de una serie de paquetes. Esta tecnologfa se conoce 
generalmente como la inspeccion de estado de paquetes (Stateful Firewall), ya 
que mantieneregistros de todaslas conexiones que pasan por el cortafuegos, 
siendocapaz de determinar siun paquete indica el inicio de una nueva conex- 
ion, es parte de una conexion existente, o es un paquete erroneo. Este tipo de 
cortafuegos pueden ayudar a prevenir ataques contra conexiones en curso o 
ciertos ataques de denegacionde servicio. 


4.4.6.3. Tercera generacion - Firewall de aplicacion 


Son aquellos que actuan sobre la capa de aplicacion del modelo 
OSI. La clave de un cortafuegos de aplicacion es que puede entender ciertas 
aplicaciones y protocolos (por ejemplo: protocolo de transferencia de ficheros, 
DNS o navegacion web), y permite detectar si un protocolo no deseado se 
abrio paso a traves de un puerto no estandar o si se esta abusando de un 
protocolode forma perjudicial. 

Un firewall de capa 7 es mucho mas seguro y fiable cuando se 
compara con unode filtrado de paquetes, ya que repercute en las siete capas 
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del modelo OSI. En esenciaes similar aun cortafuegos de filtrado de paquetes, 
con la diferenciade que tambien podemos filtrar el contenido del paquete. 

Un cortafuegos de aplicacionpuede filtrar protocolos de capas 
superi ores tales como FTI? TELNET, DNS, HTTP y TFTI? entre otros. Por ejemplo, si 
una organizacionquiere bloquear toda la informacion relacionada con una 
palabra en concreto, puede habilitarse el filtrado de contenido para bloquear 
esa palabra en particular. No obstante, los firewalls de aplicacion resultan mas 
lentosque los de estado. 


4.4.7. Representation Grafica 


Para esquemas de red suelen usarse los estandares de CISCO, es 
por eso que en este documento tambien los utilizaremos. Si bien durante este 
caprtulo se fueron incluyendo de manera implfcita, vamos a darle su definicion 
formal. 


4.4.7.I. Hub 


Ya explicadoen la seccion 4.4.1 



Figura 4.9: Hub 


4.4.7.2. Bridge 


Ya explicadoen la seccion 4.4.2 
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Figura4.10: Bridge 


4.4.7.3. Switch 


Ya explicadoen la seccion 4.4.3 



Figura 4.11: Switch 


4.4.7.4. Access Point 


Ya explicadoen la seccion 4.4.5 



Figura 4.12: Access Point 
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4.4.7.5. Router 


Ya explicadoen la section 4.4.4 



Figura4.13: Router 


4.4.7.6. Firewall 


Ya explicadoen la section 4.4.6 



4.4.7.7. Router-Firewall 


Si bien no se ha explicado, considerese que muchas veces, router 
y firewall estan embebidos en el mismo dispositivo. En ese caso se simboliza: 
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Figura4.15: Router Firewall 


4.5. Servicios en Capa de Aplicacion 


Cuando se diseno el modelo TCP/II? las capas de sesion y de pre- 
sentacion del modelo OSI se agruparon en la capa de aplicacion del modelo 
TCPEsto significaque los aspectosde representacion, codificacion y control de 
dialogo se administran en la capa de aplicacion en lugarde hacerlo en las ca- 
pas inf eri ores individuales, como sucede en el modelo OSI. Este diseno garantiza 
que el modelo TCP/IP brinda la maxima flexibilidad, en la capa de aplicacion, 
para los desarrolladores de software. 

Los protocolos TCP/IP que admiten transferencia de archivos, correo 
electronico y conexion remota probablemente sean los mas familiares para los 
usuariosde la Internet. Estos incluyen, entre otros: 


■ Servicio de denominacionde dominios (DNS) 

■ Protocolo de transferencia de archivos (FTP) 

■ Protocolo de transferencia de hipertexto (HTTP) 

■ Protocolo simple de transferencia de correo (SMTP) 

■ Protocolo simple de administracion de red (SNMP) 


4.5.1. DNS 


La Internet estabasada enun esquema de direccionamientojerarquico. 
Este esquema permite que el enrutamiento se base en clases de direcciones en 
lugarde basarse en direcciones individuales. El problema que esto crea para el 
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usuario es la asociacionde la direccion correcta con el sitio de Internet. Es muy 
facil olvidarse cual es la direccion IP de un sitio en particular dado que no hay 
ningun elemento que permita asociar el contenido del sitio con su direccion. 
Imaginemos lo dificil que serfa recordar direcciones IP de decenas, cientoso 
incluso miles de sitios de Internet. 

Se desarrollo un sistema de denominacion de dominiopara poder 
asociar el contenido del sitio con su direccion. El Sistema de denominacion de 
dominios (DNS: Domain Name System) es un sistema utilizado en Internet para 
convertir los nombres de los dominios y de sus nodosde red publicados abierta- 
mente en direcciones IE Un dominio es un grupode computadores asociados, 
ya sea por su ubicacion geografica o por el tipo de actividad comercial que 
comparten. Un nombre de dominio es una cadena de caracteres, numeros o 
ambos. Por lo general, un nombre o una abreviatura que representan la direc- 
cion numericade un sitio de Internet conforma el nombre de dominio. Existen 
masde 200 dominios de primer nivel en la Internet, por ejemplo: 


.us: Estados Unidos de Norteamerica 
.uk: Reino Uni do 


Tambien existen nombres genericos, por ejemplo: 

.edu: sitios educacionales 
.com: sitios comerciales 
.gov: sitios gubernamentales 
.org: sitios sin fines de lucro 
.net: serviciode red 


4.5.2. FTP 


FTP es un servicio confiable orientado a conexion que utiliza TCP 
para transferir archivos entre sistemas que admiten FTP El proposito principal de 
FTP es transferir archivos desde un computador hacia otro copiando y movien- 
do archivos desde los servidores hacia los clientes, y desde los clientes hacia los 
servidores. Cuando los archivos se copiande un servidor, FTP primero establece 
una conexion de control entre el cliente y el servidor. Luego se establece una se- 
gunda conexion, que es un enlace entre los computadores a traves del cual se 
transfieren los datos. La transferenciade datos se puede realizar en modo ASCII 
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o en modo binario. Estos modos determinan la codificacionque se usa para 
el archivo de datos que, en el modelo OSI, es una tarea de la capa de pre- 
sentacion. Cuando terminala transferencia de archivos,la conexion de datos 
se termina automaticamente. Una vez que se ha completado toda la sesion 
para copiary trasladar archivos, el vinculo de comandosse cierra cuando el 
usuario se desconecta y finaliza la sesion. 

TFTP es un servicio no orientado a conexion que usa el Protocolo 
de datagramas del usuario (UDP). TFTP se usaen el router para transferir archivos 
de configuracion e imagenes de Cisco IOS y para transferir archivos entre sis- 
temas que admiten TFTP TFTP esta di sen ado para ser pequeno y facil de imple- 
mentar. Por lo tanto, carece de la mayorfade las caracterfsticas de FTP TFTP 
puede leer o escribir archivos desde o hacia un servidor remoto pero no 
puede listar los directorios y no tiene manera de proporcionar autenticacion de 
usuario. Es util en algunas LAN porque opera mas rapidamente que FTP y, en un 
entorno estable, funcionade forma confiable. 


4.5.3. HTTP 


El Protocolo de transferencia de hipertexto (http: Hipertext Trans- 
fer Protocol) funciona con la World Wide Web, que es la parte de crecimiento 
mas rapido y mas utilizadade Internet. Una de las principales razones de este 
crecimiento sorprendente de la Web es la facilidad con la que permite acced- 
er a la informacion. Un navegador de Web es una aplicacioncliente/servidor, lo 
que significaque requiere que haya tanto un componente de clientecomo de 
servidor para que funcione. Un navegador de Web presenta datos en formatos 
multimedialesen las paginas Web que usan texto, graficos, sonido y video. Las 
paginas Web se crean con un lenguajede formato denominado Lenguajede 
etiquetas por hipertexto (HTML: Hypertext Markup Language). HTML dirige a un 
navegador de Web en una pagina Web en particular para crear el aspecto 
de la pagina de forma especffica. Ademas, HTML especifica la colocacion del 
texto, los archivos y objetosque se deben transferir desde el servidor de Web al 
navegador de Web. 

Los hipervfnculos hacen que la World Wide Web sea facil de nave- 
gar. Un hipervinculo es un objeto, una frase o una imagen en una pagina Web. 
Cuando se hace clic en el hipervinculo, transfiere el navegador a otra pagina 
Web. La pagina Web a menudo contiene oculta dentro de su descripcion HTML, 
una ubicacion de direccionque se denominaLocalizador de Recursos Uniforme 
(URL: Uniform Resource Locator). En el URL http://www.frsn.utn.edu.ar/tecnicas3, 
los caracteres "http://"le indican al navegador cual es el protocolo que debe 
utilizar. La segunda parte, "www", es el nombrede host onombrede una maquina 
determinada con una direccionIP determinada. La ultima parte identificala 
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carpeta especfficaque conti ene la pagina web por defecto en el ser vidor. 


http:// 

WWW. 

FRSN.UTN.EDU. AR 

/TECNICAS3 

Le indica al 



La carpeta 

navegador que 
tipo de 
protocolo se 

Identifica el 
nombre de host 

El dominio o 

entidad del sitio 

donde se 

encuentra la 
web en el 

debe usar 



servidor 


Tabla4.1: Partes de una direccion 


Un navegador de Web generalmente se abre en una pagina de 
inicio o "home"(depresentacion). El URL de la pagina de presentacionya se ha 
almacenado en el area de configuracion del navegador de Web y se puede 
modificaren cualquier momento. Desde la pagina de inicio, haga clic en uno 
de los hipervmculos de la pagina Web o escriba un URL en la barrade direccion 
del navegador. El navegador de Web examina el protocolo para determinarsi 
es necesario abrir otro programa y, a continuacion, emplea DNS para determi- 
nar la direccion IP del servidorde Web. Luego, las capas de transporte, de red, 
de enlace de datosy fisica trabajan de forma conjuntapara iniciar la sesion 
con el servidor Web. Los datos transferidos al servidor HTTP contienen el nom- 
bre de carpeta de la ubicacionde la pagina Web. Los datos tambien pueden 
contener un nombre de archivo especifico para una pagina HTML. Si no se sum- 
inistra ningun nombre, se usa el nombre que se especifica por defecto en la 
configuracion en el servidor. 

El servidor responde a la peticion enviando todos los archivos de 
texto, audio, video y de graficos, como lo especifican las instruccionesde HTML, 
al cliente de Web. El navegador del cliente reensambla todos los archivos para 
crear una vista de la pagina Web y luego termina la sesion. Si se hace clic en 
otra pagina ubicada en el mismo servidor o en un servidor distinto, el proceso 
vuelvea empezar. 


4.5.4. SMTP 


Los servidores de correo electronico se comunican entre siusando 
el Protocolo simple de transferencia de correo (SMTP). El protocolo SMTP trans- 
porta mensajesde correo electronico en formato ASCII usando TCP 

Cuando un servidorde correo recibe un mensajedestinado a un 
cliente local, guarda ese mensaje y espera que el cliente recoja el correo. 
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Hay varias maneras en que los clientes de correo pueden recoger su correo. 
Pueden usar programas que acceden directamente a los archivos del servidor 
de correo o pueden recoger el correo usando uno de los diversos protocolos 
de red. Los protocolos de cliente de correo mas populares son POP3 e IMAP4, 
ambosde los cuales usan TCP para transportar datos. Aunque los clientes de 
correo usan estos protocolos especiales para recoger el correo, casi siempre 
usan SMTP para enviar correo. Dado que se usan dos protocolos distintos y, posi- 
blemente, dos servidores distintos para enviar y recibir correo, es posible que los 
clientes de correo ejecuten una tarea y no la otra. Por lo tanto, generalmente 
es una buena idea diagnosticarlos problemas de enviode correo electronico 
y los problemas de recep cion del correo electronico por separado. 


4.5.5. SNMP 


El Protocolo simple de administracion de red (SNMP: Simple Net- 
work Management Protocol) es un protocolode la capa de aplicacion que fa- 
cilita el intercambio de informacion de administracion entre dispositivos de red. 
El SNMP permite que los administradores de red administren el rendimiento de 
la red, detecten y solucionen los problemas de red y planifiquen el crecimiento 
de la red. El SNMP usa UDP como su protocolo de capa de transporte. 

Una red administrada con SNMP esta compuesta por los tres com- 
ponentes clave que se detallana continuacion: 


■ Sistemade administracion de la red (NMS: Network Management System): 
El NMS ejecuta aplicaciones que monitoreany controlan los dispositivos 
administrados. La gran mayorfade los recursos de procesamientoy de me- 
moria que se requieren para la administracion de red se suministra a traves 
del NMS. Deben existir uno o mas NMS en cualqui erred administrada. 

■ Dispositivos administrados : Los dispositivos administrados son nodosde red 
que contienen un agente SNMP y que residen en un red administrada. 
Los dispositivos administrados recopilan y guardan informacion de admin- 
istracion y ponen esta informacion a disposicionde los NMS usando SNMP 
Los dispositivos administrados, a veces denominadoselementos de red, 
pueden ser routers, servidores de acceso, switches y puentes, hubs, hosts 
del computador o impresoras. 

■ Agentes : Los agentes son modulos del software de administracion de red 
que residen en los dispositivos administrados. Un agente tiene conocimien- 
to local de la informacion de administracion y convierte esa informacion a 
un formato compatible con SNMP 
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4.6. VPN 


Una VPN es una red privada que se construye dentro de una in- 
fraestructura de red publica, como la Internet. Con una VPN, un empleado a 
distancia puede acceder a la red de la sede de la empresa a traves de Inter- 
net, formando un tunel seguro entre el PC del empleado y un router VPN en la 
sede. 



Oflclna Secundaria 


Sede de la Empresa 


Figura4.16: Red Privada Virtual 


La VPN es un servicio que ofrece conectividad segura y confiable 
en una infraestructura de red publica compartida, como la Internet. Las VPN 
conservan las mismas polfticas de seguridad y administracion que una red pri- 
vada. Son la forma mas economica de establecer una conexionpunto-a-punto 
entre usuariosremotos y la red de un clientede la empresa. 

A continuacion se describen los tres principales tipos de VPN: 


VPN de acceso: Las VPN de acceso brindan acceso remoto a un trabajador 
movil y una oficinapequena/oficina hogarena (SOHO), a la sede de la 
red interna o externa, mediante una infraestructura compartida. Las VPN 
de acceso usan tecnologias analogicas, de acceso telefonico, RDSI, lfnea 
de suscripcion digital (DSL), IP movil y de cable para brindar conexiones 
seguras a usuarios moviles, empleados a distanciay sucursales. 

Redes internas VPN: Las redes internas VPN conectana las oficinas regionales 
y remotas a la sede de la red interna mediante una infraestructura com- 
partida, utilizando conexiones dedicadas. Las redes internas VPN difieren 
de las redes externas VPN, ya que solo permiten el acceso a empleados 
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de la empresa. 

Redes externas VPN: Las redes externas VPN conectana socios comerciales 
a la sede de la red mediante una infraestructura compartida, utilizando 
conexiones dedicadas. Las redes externas VPN difieren de las redes inter- 
nas VPN, ya que permitenel accesoa usuarios que no pertenecen a la 
empresa. 


4.6. VPN 
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RADIUS 


RADIUS Es un protocolo AAA (Autenticacion, Autorizacion y Ad- 
ministracion) para aplicacionescomo acceso a redes o movilidadlE 

Muchos ISP (proveedores de acceso a internet por dial up, DSL, ca- 
blemodem, ethernet, Wi-Fi, etc) requieren que se ingrese un nombrede usuario 
y contrasenapara conectarse a la red. Antes de que el accesoa la red sea 
concedido, los datos de acceso son pasados por un dipositivo NAS (Network 
Access Server) sobre un protocolo de capa de enlace (comoPPP para muchos 
dialups y DSL), luego hacia un servidor RADIUS. Este chequea que esa 
informa- cion sea correcta usando esquemas de autentificacion como PAP 
CHAP o EAP Si es aceptada, el servidor autorizara el acceso al sistema del ISP y 
seleccionara una direccionip parametros L2TP etc. 

RADIUS tambien es comunmente usadopor el NAS para notificar 
eventos como: 


■ El inicio de sesiondel usuario. 

■ El final de sesiondel usuario. 

■ El total de paquetes transferidos durante la sesion. 

■ El volumen de datos transferidos durante la sesion. 

■ La razon para la terminacion de la sesion. 


RADIUS es un protocolo de autentificacion comunmente utilizado 
por el estandar de seguridaddel 802. lx (usado en redes inalambricas). De to- 
das maneras, RADIUS no fue creado inicialmente para ser un metodode seguri- 
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dad en redes inalambricas. RADIUS mejora el estandar de encriptacion WEI? en 
conjunto con otrosmetodos de seguridad como EAP-PEAP 


5.1. Requerimientos 


RADIUS utiliza UDP como su protocolode base. El puerto registrado 
para traficode RADIUS es el 1812 (aunque inicialmenteera el 1645 que entraba 
en conflicto con otro servicio). Cuando RADIUS ya autentico al usuario, continua 
“contabilizando” el uso de esa cuenta (Lo que en RADIUS se conoce como 
accounting), el puerto UDP registrado para esta etapa del servicio es el 1813 
(aunque enun principio fue el 1646). 

Este es un dato util en el caso en el que el servidor RADIUS este 
separadode sus clientes por un firewall, el administrador del firewall debe tener 
en cuenta que debe dejar pasar el traficohacia el radius a traves de los puertos 
UDP 1812 y 1813. 


5.2. Informacion Adicional 


A los fines de este trabajo, solo usaremos RADIUS como una herra- 
mienta, explicara fondo el funcionamiento de RADIUS pierde sentidoya que es 
demasiado extenso,de todas formas, siesta a gusto del lector aprender de sus 
estandares de funcionamiento, recomendamos buscar: 


■ RFC 2865 Remote Authentication Dial In User Service (RADIUS) 

■ RFC 2866 RADIUS Accounting 

■ RFC 2867 RADIUS Accounting Modifications for Tunnel Protocol Support 

■ RFC 2868 RADIUS Attributes for Tunnel Protocol Support 

■ RFC 2869 RADIUS Extensions 

■ RADIUS attributes and packet type codes ( http://www.iana.org/assignme nts/radius- 
types ) 
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Capitulo 6 

DMZ 


En seguridad informatica, una zona desmilitarizada (DMZ, demili- 
tarized zone) o red perimetral es una red local que se ubica entre la red interna 
de una organizaciony una red externa, generalmente Internet. El objetivo de 
una DMZ es que las conexionesdesde la red interna y la externa a la DMZ es- 
ten permitidas, mientras que las conexionesdesde la DMZ solo se permitan a 
la red externa, es decir, los equiposen la DMZ no pueden conectar con la red 
interna (LAN). Esto les permite dar serviciosa la red externa a la vez que prote- 
gen la red interna en el caso de que intrusos comprometan la seguridad de los 
equipos situados en la zona desmilitarizada. Para cualquiera de la red externa 
que quiera conectarse ilegalmente a la red interna, la DMZ se convierte en un 
“callejon sin salida”. 

La DMZ se usa habitualmentepara ubicar servidores que es nece- 
sario que sean accedidos desde fuera, como servidores de correo electro nico, 
Web y DNS. 


Las conexiones que se realizan desde la red externa hacia la DMZ 
se controlan generalmente utilizando traslacion de los puertos necesarios para 
evitar dejar totalmente expuestos los hosts que en ella se encuentran. 

Una DMZ se crea a menudo a traves de las opciones de config- 
uracion del firewall, dondecada red se conectaa un puerto distintode este. 
Esta configuracion se llama firewall en trrpode (three-legged firewall). Un plan- 
teamiento mas seguro es usar dos firewall, donde la DMZ se situa en medio y 
se conecta a ambos firewall, unoconectado a la red interna y el otroa la red 
externa. Esta configuracion ayuda a prevenir configuraciones erroneas acci- 
dentales que permitan el acceso desde la red externa a la interna. Este tipo de 
configuracion tambien es llamado firewall de subred monitoreada (screened- 
subnet firewall). 
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Resumiendo, por lo general, la polfticade seguridad de la DMZ es 

la siguiente: 


El trafico... 


■ ...Desde la red externa, por ejemplo internet... 

• ...Haciala DMZ esta filtrado 

• ...Haciala LAN esta prohibido 

■ ...Desde la LAN... 

• Hacia la DMZ esta autorizado 

• Hacia internet esta autorizado 

■ ...Desde la DMZ... 

• Haciala LAN esta prohibido 

• Hacia internet esta filtrado 


6.1. Entorno Domestico 


En el caso de un enrutadorde uso domestico 1 , el “DMZ host” (O 
en algunas marcas DMZ Relay) se refiere a la direccion IP que tiene una com- 
putadora para la que un enrutador deja todos los puertos abiertos, excepto 
aquellos que esten explicitamente definidos en la seccion NAT del enrutador. Es 
configurable en varios enrutadores y se puede habilitar y deshabilitar. 

Con ello se persigue conseguir superar limitaciones para conec- 
tarse con segun que programas, aunque es un riesgo muy grande de seguri- 
dad que conviene tener solventado instalandoun firewall por software en el 
ordenador que tiene dicha ip en modo DMZ. 

Para evitar riesgos es mejorno habilitar esta opcion yusar las tablas 
NAT del enrutador y abrir unicamente los puertos que son necesarios. 


x Si bien este documento no esta orientado a equipos domesticos, no se quiere evitar este 
comentario ya que es una duda que puede surgir al cruzarsecon un equipo de menor categorfa 
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Parte III 


Desarrollo del Problema 


Aqui mostraremos en detalle todas las configuraciones que se desarrollaron 
para lograr el producto final 




Capitulo 7 

Detalles de la red 


Como ya se menciono anteriormente, uno de los puntos impor- 
tantespara teneren cuenta por parte del lector, es la evidencia quequedade 
la utilidadde trabajar con virtualizacion de equipos. En nuestra red (la cual por 
supuesto es un modeloa escala de la red propuesta) utilizamos como hardware 
un RouterBoard (Ver seccion 8.3. 1.2) y una laptop donde se virtualizaran algunos 
servidores y un RouterOS (Ver seccion 8.3.1), esto puede verse diagramado en 
la figura 7.2. 


Habiendo ya pasado por este documento, podemos definir los 
segmentosa utilizar, los productos, establecer la seguridad y bosquejar un es- 
quema formal (ya conociendo los estandaresde representacion grafica) de la 
red final. Se utilizan 2 redes para usuarios, una para personal de la empresa, otra 
para invitados (por supuesto con diferentes polfticas de firewall). En el diseno se 
consideroademas una red separada para servidores y una DMZ. La red puede 
crecer (de no agregarse subredes)hasta: 


■ 65534 Hosts de DMZ 


■ 65534 Servidores en LAN 

■ 65534 Clientes pertenecientesa la empresa 

■ 65534 Clientes invitados 


De esta manera definimos logicamente la red: 
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Figura7.1: Esquema Logicode la Red 


Ffsicamente esto se traduce, como ya lo habiamos mencionado 
antes en este capitulo, en un RouterBoard y una laptop, dispuestosde la siguien- 
te manera: 


Laptop (Con VlrtualBox) 



Figura 7.2: Esquema Ffsico de la Red 
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7.1. Planeamiento de las politicas del firewall 


El firewall puede tomar, como modo global, dos politicas de filtra- 
do diferentes: 


Restrictive): El firewall NO PERMITE pasar traficode ninguntipo excepto 
aquel que explfcitamente se acepte. 

Permisivo: El firewall PERMITE todo el trafico excepto aquel que sea 
explfcitamente denegado. 


Por supuesto, por el animode este proyecto, vamosa utilizar una 
polftica restrictiva, es decir, que debemos tomar nota de cuales son los servicios 
que queremos permitirpara que estospuedan ser explfcitamente aceptados 
en el firewall. Por esto es conveniente hacer un buen analisis para la puestaen 
marcha. 


7.1.1. Servicios en DMZ 

En la DMZ dispusimos un servidorweb, la idea es que este brinde 
servicios hacia afuerade la redprivada, es decir, que desde la eth2de la laptop 
(Internet) puede accederse unicamentea ese equipo (10.200.0.1) en el puerto 
TCP 80 (http). 


7.1.2. Servicios en LAN 

Contamos con dos equipos, un servidor de archivos y web interna 
(10.50.0.2) y un servidor de RADIUS (10.50.0.1). El RADIUS debe poder accederse 
unicamente desde el RouterBoard ya que es este el que le envia las consultas. 
Por otra parte, el servidor de archivos y web interna debe ser accedido unica- 
mente por el personal (red 10.150.0.0/16). En conclusion, necesitamos aceptar 
TCP 80 (http) y TCP 445 (CIFS, Servicio de archivos compartidos de windows). 


7.1.3. Servicios que brinda el Router 

El RouterBoard ademas es capas de brindar algunos servicios de 
red a los clientes, en nuestro caso, cumple las funcionesde DNS (Servicio de 
resolucionde nombres),DHCP (Servicio de asignaciondinamicade direcciones 
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de red) y PPTP (Servicio de Tunel punto a punto para VPN). Es decir que debe- 
mos considerar que en el firewall (ya veremosque el firewall tiene una seccion 
de entrada, para protegerse a simismo) permitir para las redes LAN de personal 
y de invitadoslos puertos UDP 53 (DNS), UDP 65-68 (DHCP), TCP 1723 y protocolo 
GRE (PPTP VPN). 

Hay una cosa mas, que muchas veces no se considera como ser- 
vicio de red, sin embargo lo es, y es en este momento de diseno, lo mas impor- 
tante a teneren cuenta en las reglas de entrada al router, y es lo que usemos 
para administrarlo, si olvidamos aceptar Winbox, o SSH, o lo que sea que usemos 
para administrarlo, entonces jestaremosen problemas! Concluyamos de esto: 
NO OLVIDAR aceptar TCP 8291 (Winbox) y/o TCP 22 (SSH). Una nota importante 
es que estos puertos mencionados son los estandar, pero queda a la libertad 
del administrador del router cambiarlos a su preferencia, siempre y cuando no 
olvide modificar las reglas de firewall para no “perder el equipo”, es decir, para 
que las reglas de firewall no impidan nuestra entrada al router: Por ejemplo, si 
tengo Winbox en el puerto 8291, con su regia “Aceptar TCP 8291” asociada, 
en caso de cambiarel servicio de Winbox del 8291 al 10000, debemos primero 
crear la regia “Aceptar TCP 10000” porque de otro modo no podremos entrar 
por ningunode los dos puertos. 


7.1.4. Reglas de estado 

Recordemos que RouterOS posee un firewall de segunda gen era- 
cion, es decir, no solo entiende los paquetes individuales, sino que entiendecon 
que conexiones esta relacionado ese paquete, o a que conexionpertenece, 
debido a esto, tambien entiende cuando una conexiones invalida (paquetes 
malformados y demas)que puede ser signode que alguien esta atacando la 
red. Por eso otrade las medidasa tomaren el firewall es aceptar las conexiones 
establecidas y relacionadas. Ademas, por mas que las conexiones invalidas, 
por no estar aceptadas terminaran por descartarse, no esta de mas descartar- 
las explicitamente entre las primeras reglas para evitarque generen carga al 
microprocesador del router. 


7.1.5. Reglas de LAN a DMZ y a Internet 

La LAN es la red de mas alta seguridad, como ya dijimos el trafico 
desde Internet o desde la DMZ esta terminantemente prohibido hacia la LAN, 
sin embargo, desde la LAN es necesarioque se puedan abrir conexiones hacia 
afuera para, por ejemplo, visitar una pagina web, leer correo, descargar actu- 
alizaciones, etc. Aqui entra mucho en juego el criterio del administrador, sibien 
la polftica podrfa ser aceptar todo lo que vaya hacia una zonade seguridad 


72 


Capitulo 7. Detallesde la red 


Configuracion Avanzada de Redes LAN 
Bertero - Valentini 



menor, dijimos que serfamosrestrictivos a la hora de poner en marcha los fire- 
walls, es por esto que por nuestra parte decidimos aceptar lo que nos parece 
correcto para una organizacion (HTTR IMAI? POI? SMTI?FTP)y para otras cosas 
estandar, dejamoslas reglas “listas” pero deshabilitadaspara que puedan ser 
habilitadas ante una necesidad y permitan el trafico (P2I? MSN, Torrents). 


7.1.6. Reglas para los Invitados 

Esta vez entra de nuevo en juego el criterio del administrador y la 
definicionde la companfa, en nuestrocaso, y a modo de ejemplo (ya que una 
vez separada la red de invitados se puede filtrar o permitirlo que se desee) solo 
les permitiremos a los invitados navegar en internet, es decir NO a servidores de 
LAN. 


7.1.7. Diseno Final 

Recogiendo informacion de las secciones anteriores concluimos 
en que el firewall debe estar configurado de la siguiente manera: 

En ambos routers, en todas direcciones: 


■ Denegar las conexiones invalidas 

■ Aceptar las conexiones establecidas 

■ Aceptar las conexiones relacionadas 


Desde DMZ hacia LAN: 


■ Denegar Todo 


Desde Internet hacia DMZ: 


■ Aceptar TCP 80 solo ala direccionde destino 10.200.0.1 (Web Publica) 


Desde LAN hacia una zona de menor seguridad (DMZ o Internet): 


■ Aceptar TCP 80 y 443 (HTTP y HTTPS) 


7.1. Planeamientode las polfticas del firewall 
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■ Aceptar TCP 143 y 993 (IMAP e IMAPS) 

■ Aceptar TCP 110 y 995 (POP y POPS) 

■ Aceptar TCP 25, 465 y 587 (SMTP y SMTPS) 

■ Aceptar TCP 21 (FTP) 

Desde LAN de Personal (10.150.0.0/16) hacia los servidores locales: 

■ Aceptar TCP 80 (HTTP) 

■ Aceptar TCP 445 (CIFS) 

Hacia el RouterBoard: 

■ Aceptar UDP 53 (DNS) 

■ Aceptar UDP 65-68 (DHCP) 

■ Aceptar TCP 1723 (PPTP) 

■ Aceptar GRE (PPTP) 
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Capitulo 8 

Puesta en Marcha 


Resumen: Trataremos en este capitulo todo el detallede configuracion 
y seleccionde productosque se han realizado durante el desarrollo del 

problema 


8.1. Debian GNU/Linux 


Debian GNU/Linux es un sistema operativo libre, desarrollado por 
mas de mil voluntaries alrededor del mundo, que colaboran a traves de Inter- 
net. La dedicacion de Debian al software libre, su base de voluntarios, su nat- 
uraleza no comercial y su modelo de desarrollo abierto la distingue de otras 
distribuciones del sistema operativo GNU. Todos estos aspectos y mas se reco- 
gen en el llamado Contrato Social de Debian. 

Nacio en el ano 1993, de la mano del proyecto Debian, con la 
idea de crear un sistema GNU usando Linux como nucleo ya que el proyec- 
to Debian, organizacion responsable de su mantenimientoen la actualidad, 
tambien desarrolla sistemas GNU basados en otros nucleos (Debian GNU/Hurd, 
Debian GNU/NetBSD y Debian GNU/kFreeB S D) . 

Uno de sus principales objetivos es separar en sus versiones el soft- 
ware libre del software no libre. El modelo de desarrollo es independiente a 
empresas, creado por los propios usuarios, sin depender de ninguna manera de 
necesidades comerciales. Debian no vende directamente su software, lo pone 
a disposicion de cualquiera en Internet, aunque sipermite a personas o empre- 
sas distribuir comercialmente este software mientras se respete su licencia. De- 
bian GNU/Linux puede instalarse utilizando distintos mecanismos de instalacion. 
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como DVD, CD, Blu-Ray, memorias USB y diskettes, e incluso directamente desde 
la red. 


Actualmente muchas otras distribucionesde GNU/Linux son basadas 
en Debian, uno de los ejemplos mas significativos, quizas una de las distribu- 
ciones mundialmente mas difundidaes Ubuntu. Ubuntu es un sistema disenado 
para llegaral usuario final, lo que le da una cierta simplicidadde instalacion y 
uso. 


8.1.1. Ubuntu 


Si bien Ubuntu no acostumbra usarse en servidores productivos, 
porque al ser un operativo destinado a ser sencillo posee mucho software adi- 
cionalque puede resultar en una inestabilidad del sistema, hemos decidido uti- 
lizarlo, ya que, a los fines de este proyecto solo lo usamos como una herramien- 
ta, y no nos agregarfa valor utilizar alguna otra distribucion mas especializada 
para brindar servicios. 

Pueden descargarse todas las versionesde Ubuntu desde 
http://www.ubuntu.com/download 


8.2. FreeRadius 


FreeRadius es un proyecto de software libre que contiene varios 
componentes, uno de ellos es el servicio de RADIUS. FreeRadius es el servicio de 
RADIUS mas globalmente utilizado incluso por grandes compamas, y es por esto 
que existe muchisima documentacion al respecto. Esta es una de las razones 
por las que lo elegimospara este problema. 


8.2.1. Configuracion de FreeRadius en Ubuntu Server 


A continuacion se listan los cambios realizados en los archivos de 
configuracion de FreeRADIUS. El directorio de configuracion es /etc/freeradius. 

Las versionesde software utilizadas son las siguientes: 
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lsbjrelease -a 
Distributor ID: Ubuntu 
Description: Ubuntu 10.04.1 LTS 
Release: 10.04 
Codename : lucid 

freeradius -v 

freeradius: FreeRADIUS Version 2.1.8, for host 
x86_64-pc-linux-gnu , built on Jan 5 2010 at 02:56:18 


8.2. 1 .1 . radiusd.conf 

■ Configuracion de proxy: Esta funcion viene habilitada por defecto; se 
la deshabilitousando la siguiente directiva: 


proxy .requests = no 


8.2.1. 2. clients.conf 


En este archivo el AP debe ser dado de alta para que el radius 
acepte sus consultas. 


client 10.50.255.254 { 

# tanto el AP cono el radius tienen que tener 

# el nisno secret, 
secret = tecnicas3 
shortnane = AP 

} 


8.2. 1.3. eap.conf 


■ Por defecto el tipo de autenticacionEAP sera PEAR 


de fault _eap_type = peap 


■ Copiar todos los atributos del paquete de autenticacion original al tunel 
EAP 


copy _re que st_to .tunnel = yes 
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■ Responder los atributos basado en el nombre de usuario dentro del tunel. 


use_tuimeled_reply = yes 


■ Las peticiones dentro del tunel se tratan por el mismo servidor virtual, co- 
mentar o eliminarla linea siguiente: 


# virtual. server = “inner -tunnel” 


8.2. 1.4. huntgroups 

Permite diferenciar si el usuario es un empleado o un invitado. 


personal NAS-IP-Address == 10.50.255.254,NAS-Port-Id == “wls .personal” 
invitados NAS-IP-Address == 10.50 .255 .254, NAS-Port-Id == “wls.invitados” 


8.2. 1.5. users 

Listadode usuarios (tanto empleados como invitados). 


jorge Cleartext-Password := “Password!”, Hunt group -Name == “personal” 
gabriel Cleartext -Pas sword := “Password!”, Hunt group -Name == “personal” 
felipe Cleartext-Password := “Password!”, Hunt group -Name == “invitados” 


8.2. 1.6. servidor virtual sites-available/default 

Se configuran las secciones authorize (determinar el tipo de aut- 
enticacion, que seraPEAP en este caso) y authenticate (validarel usuario). No 
se hace accounting. 
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authorize preprocess #va a leer el archivo huntgroups pap #para hacer 
pruebas desde una PC; no hace fait a eap #determina que Auth-Type = PEAP 
ok = return 

files #va a leer el archivo users 

authenticate #PAP: para hacer pruebas desde una PC; no hace fait a 

Auth-Type PAP 

pap 

#MS-CHAP : va a comprobar que la clave sea correcta 
#dentro del tunel 
Auth-Type MS -CHAP 
ms chap 

#eap: PEAP es el tipo de autenticacion 
eap 


8.2.I.7. habilitar servidor virtual sites-available/default 


Se habilita solamente el servidor virtual default. Para esto, dejar so- 
lamenteun enlace simbolico a sites-available/default en sites-enabled. 


8.3. Mikrotik 


MikrotiklsLtd., conocida internacionalmentecomo MikroTik, es una 
comp anf a letona vendedora de equipo informaticoy de redes. Vende princi- 
palmente productos de comunicacion inalambrica como routerboards o routers, 
tambien conocidos por el software que lo controla llamado RouterOS.La com- 
panfa fue fundada en el 1995, aprovechando el emergente mercado de la 
tecnologfa inalambrica. 

El principal producto de Mikrotik es el sistema operativo conocido 
como Mikrotik RouterOS basados en Linux. Permite a los usuarios convertir un 
ordenador personal PC en un router, lo que permite funciones comunmente 
utilizadas para el enrutamiento y la conexionde redes: 


■ Poderoso control QoS 

■ Filtrado de Trafico P2P 

■ Alta disponibilidadcon VRRP 

■ Firewall Dinamico 


8.3. Mikrotik 
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■ Tuneles 


■ Red Inalambrica de alta velocidad 802.11a/b/g con WEP/WPA 


■ Access Points virtuales 


■ HotSpot Para acceso Plug-and-Play 


■ Routeo RI? OSPF, BGI? MPLS 


■ Configuracion y Monitoreo en tiempo real 


Existe un software llamado Winbox que ofrece una sofisticada interfaz grafica 
para el sistema operativo RouterOS.El software tambien permite conexiones a 
traves de FTPy Telnet, SSHy acceso shell. Tambien hay una API que permite 
crear aplicaciones personalizadas para la gestion y supervision. 


8.3.1. Mikrotik RouterOS 


8.3.I.I. Instalacion del Sistema en una Maquina Virtual 


Como ya se menciono, RouterOS puede instalarse sobre una PC 
convirtiendola en un router, £y por que no utilizarlo sobre una maquina virtual? 
Utilizamos VirtualBox como plataforma de virtualizacion, VirtualBox es software 
libre, gratuito y multiplataforma que puede ser descargado directamente de la 
pagina web oficial: http://www.virtualbox.org/wiki/Downloads 

Descargamos RouterOS desde la pagina web de Mikrotik: 


80 


Capitulo 8. Puestaen Marcha 


Configuracion Avanzada de RedesLAN 

Bertero - Valentini 




acultad Regional San Nicolas 

'hSCniHSq K6dlOU9| ?9U |/|ICO|92 


http://www.mikrotik.com/download.html 



Routers & Wireless 


^hom^^^oftw^re^h^^ware^^uipport^^wmloa^jpurch^e|a^imn^^^^^^^ 





Select system type: 

PC / X86 

Select software type: 

Stable 


RouterOS 4.11 

• All files (requires a Torrent client) 

• Combined package (http) 

• All packages (Includes optional packages: 


Download these free 
tools like the Dude to 
help you operate your 
BBSS: network with m™ 


£§1 




iJU efficiency. 


RouterOS Installation 

Netinstall 4.11 ( stable ) 

Netinstall 5.0beta6 (dev) 

Download the Netinstall utility to 
install any RouterOS version. 
Netinstall uses the packages you can 
download on the left. 

• Install Help 

• Upgrade Help 

• MD5 checksums 

• v 3.30 Changelog 

• v 4.11 Changelog 

• v 5.0beta6 Changelog 


Tools / Utilities 

• Winbox configuration tool 

• The Dude network monitor 

• Trafr sniffer reader for linux 

• Bandwidth test tool for Windows 

• Neighbor viewer for Windows * 

• MikroTik Proxylizer 

• RouterBOARD wireless card 
drivers 

• Other tools in the Archive 


Version Notify 

your email please Ok 


Figura8.1: Descargade RouterOS desdela pagina oficial 


Creamosuna maquina virtual nueva, RouterOS no requiere un dis- 
co muy grande, con 500MB es mas que suficiente: 



Figura 8.2: Administrador de Maquinas Virtuales de VirtualBox 


virtual y la 


Nos aseguramosde bootear la imageniso descargada enla maquina 
prendemospara instalar. 
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©O O 3 Right Ctrl 


Figura 8.3: Seleccionde componentes de instalacion 


La instalacion es sencilla, seleccionamos los paquetesa instalar, 
esperamos unos minutos, reiniciamos y listo, ya tenemos nuestro router corrien- 
do, por supuesto falta la etapa de configuracion que analizaremos mas ade- 
lante. 


Tener en cuenta que las credenciales por defecto para RouterOS 
son admin sin contras en a. 

La configuracion de los Routers se detallaen las secciones 8.3.5 y 

8.3.4. 


8.3. 1.2. Mikrotik RouterBoard 


RouterBOARD es el nombre de una gama de productos de Mikrotik. 
Son placasbase pensadaspara construir routers. Suelen tener varios slots de ex- 
pansion miniPCI para conectar tarj etas inalambricas, puertos ethernet y USB. Al- 
gunos modelos mas avanzados cuentan incluso con slots miniPCI-E para conec- 
tar tarjetas 3G. Por defecto, vienencon RouterOS preinstalado, pero se puede 
cambiar reprogramando la me m or i a flash interna a traves del puerto serie. 

Muchas comunidades inalambricas optan por esta opcion a la 
horade crear nodos,pues son mucho mas personalizables que los quese pueden 
comprar normalmente y se pueden ahorrar gastos en funcionde las necesi- 
dades que se tengan. 

Ademas, suelen tener incorporada la tecnologfa Power over Eth- 
ernet (PoE) haciendo que sea posible,por ejemplo, alimentar el futuro router a 
traves de un cable LAN RJ-45 estandar y eliminando asi el uso de un alimentador 
de corriente convencional. 
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Usaremoscomo nuestro segundo router un RouterBOARD. 

8.3.I.3. Mediosde Configuracion de RouterOS 

Como ya se menciono existen varias formas de administrar, con- 
figurar y monitorear un RouterOS: 

Herramientas Graficas 

■ Interfaz Web - Puerto 80 

■ Interfaz Web SSL - Puerto 443 

■ Winbox - Aplicacion sobre puerto 8291 

■ API -Puerto 8728 



Herramientas por Linea de Comandos 


■ SSH - Puerto 22 


■ Telnet - Puerto 23 


■ FTP - Puerto 2 1 


Por seguridad, es recomendable dejar habilitado unicamente SSH 
y cambiar el puerto por defecto a otro cualquiera, pero para hacer una con- 
figuracion inicial mas didactica utilizaremos Winbox. Winbox es una aplicacion 
de Mikrotik, gratuita, que correbajo Windows: 


8.3. Mikrotik 
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Figura 8.4: Winbox - Herramientade administraciongrafica de Mikrotik 


8.3.2. Comenzandocon MikroTik RouterOS 


Aqui comienza el corazon de este problema, la configuracion de 
RouterOS, aquellos que alguna vez hay an tenido la oportunidad de configurar 
un router hogareno saben que estos vienen preconfigurados para que sea muy 
sencillo hacer que funcionen (por supuesto sin las prestaciones ni la flexibilidad 
de un equipo industrial), por el contrario RouterOS no posee ninguntipo de pre- 
configuracion, es por eso que puede ser complejo comenzar “de cero” con la 
configuracion de RouterOS. 

Una vez instalado el equipo (como se describio recientemente en 
la seccion 8.3. 1.1), nos encontraremos con un sistema virgen, cuyas creden- 
ciales por defecto son usuario admin y contrasena en bianco, y la direccion IP 
por defecto en la primer ethernet es 192.168.88.1. Para un usuario que recien 
comienza es recomendable utilizar Winbox para la configuracion 1 . Instalamos 
Winbox, que puede descargarse gratuitamente de 
http :// www. mikrotik.com/download/ winbox. exe comenzamos... 


! La administracion por SSH es sencillauna vez que unoesta habituadoa la Winbox ya que la 
organizacion de las secciones son similares y la interfaz por lineade comandos es muy amigable 
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Figura 8.5: Pantallade Login de Winbox 


Por supuesto para poder llegar inicialmente al equipo debemos 
ponernos una ip del segmento 192. 168.88.0/24 (que por supuesto no sea la 
192.168.88.1), lo primeroque debemos hacer es dar una contrasena al usua- 
rio admin (o mejor aun deshabilitar el usuario admin y crear usuarios nuevos 
con permisosde administrar), esto se controladesde System / Users: 
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Figura 8.6: Gestionde Usuarios 


Paso siguiente, Definir la funcion de cada unade las interfaces y 
comentarlaspara evitar errores, esto se realiza desde la solapa Interfaces: 
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;;; Admin 


*i*etherl 

Ethernet 

;;j Servers LAN 

*|*ether2 

Ethernet 

j; j DMZ (a mkJtk virtual) 

<|*ether3 

Ethernet 

;;; LAN Personal 

*!*ether4 

Ethernet 

;;; LAN Personal 

*|*ether5 

Ethernet 

;;; LAN Personal 

<|*ether6 

Ethernet 

;;; LAN Invitados 

*!*ether7 

Ethernet 

;;; LAN Invitados 

*|*ether8 

Ethernet 

;;j LAN Invitados 



})} LMIU II I VILQUU1 

*i*ether9 Ethernet 


Figura 8.7: Interfaces de red 


En los dispositivos con multiples interfaces es recomendable crear 
“bridges”, esto sirve para agrupar varias interfaces, de esta manera, si por ejem- 
plo agrupamos las interfaces ethO, ethl y eth2 en un bridge llamado “bridget- 
diii”, luego podremos asignar una ip o referir una regia de firewall sobre ese 
bridge y nos estamos refiriendo a las 3 interfaces, por eso, aunque en un primer 
momento asignemosuna sola interfaz al bridge, esto tiene la ventajade darnos 
flexibilidad para agregar interfaces a este bridge mas adelante. Los bridges se 
crean desde el menu Bridge, desde la solapa Bridge se crean los bridges y des- 
de la solapa Ports se asignan las interfaces 



Figura 8.8: Agrupacion de Interfaces 


Una vez definidas las interfaces y los bridges iremos a definir la di- 
reccion o las direcciones IP del router, esta configuracion se realiza desde el 
menu IP / Addresses. Cuidado, en este paso, si se cambia o deshabilitala ip 
192.168.88.1 logicamente se va a cortar la conexion y vamosa tener que re- 
conectar el router a traves de la nueva direc cion. Para nuestros equipos defini- 
mos: 
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■ RouterBoard Servers LAN - 10.50.255.254 

■ RouterBoard LAN Personal - 10.150.255.254 

■ RouterBoard LAN Invitados - 10.100.255.254 

■ RouterBoard DMZ- 10.200.255.254 

■ RouterOS Virtual DMZ - 10.200.255.253 

■ RouterOS Virtual Inernet - 5. 5. 5. 5 (esta es solo una simulacion) 

Una configuracion importante, es el horario, si el router tendra ac- 
ceso a internet, se recomienda configurar el cliente NTP (Protocolo de horario 
en red), que sirve para sincronizar la hora. Este puede ser privado o cualquiera 
de los tantos NTP publicos que existen (por ejemplo ntp.ubuntu.com 6 time. afip. gov. ar). 
Esto se configura desdeel menu System/ NTP Client 



Figura 8.9: Configuracion de Cliente NTP 


A continuacion, y como ultima medidade unapuestaen marcha 
generica, deshabilitemoslos servicios innecesarios, como ya mencionamos, el 
equipo brinda servicios para facilitar su administracion, muchos de ellos son in- 
seguros y algunos simplemente innecesarios. Dejemos habilitados unicamente 
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Winbox y SSH, aunque simas adelante se puede dejar solo SSH, mejor aun. Este 
paso se hace desde el menu IP / Services: 



Figura8.10: Servicios de RouterOS 


Ya vimos las cuestionesque son generales a la configuracion de 
un RouterOS, ahora vayamos en particular a los equiposque tenemos. 


8.3.3. Configuracion General del Firewall 


Como ya dijimos, un firewall es aquel dispositivo que inspecciona 
el traficoque recibe para evaluar si debe permitirloo no, o dado el caso, hac- 
er cualquier otra cosa como por ejemplo redirigirlo o saltara otra evaluacion 
o tan solo marcarlo con una cierta estampa. En mikrotik, el firewall se organiza 
en “tablas” (tables), “cadenas” (chains) y “reglas”: La table clasificala accion 
(hay 3 tablas disponiblesy se muestran mas adelante), la chain es una clasifi- 
cacion global del trafico, por ejemplo, “todo el traficoque va dirigido hacia 
el Router” 6 “Todo lo que vienede la LAN de invitados”; Las reglas son individ- 
ualmentepara cada tipo de paquete, que se permitira y que no, por ejemplo, 
“Denegar cualquier paquete TCP que vaya dirigido al puerto 80 de cualquier 
equipo”, notese que hay una accion y una evaluacion, la accion es denegar, 
y la evaluacion es que el paquete cumplacon ser TCP 80. 

Las tablas disponibles son: 
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Table 

Funcion 

Chain 

Descripcion 




Filtra los paquetes dirigidos al 



Input, 

Forward, 

Output 

firewall, que pueden 

Filter 

Filtrado de 
paquetes 

accederse a traves de otra 
interface del firewall, o que son 



originados por el firewall, 




respectivamente. 

NAT 

Traduccion de 

SrcNat, 

Traduce la direccionde origen 

direcciones 

DstNat 

o destino, respectivamente 



Input, 

Altera las cabeceras de los 



Forward, 

paquetes que entran, cruzano 

Mangle 

Alteracion de 

Output. 

se originanen el firewall, antes 

paquetes 

Prerouting, 

o despues de enrutarel trafico, 



Postrouting 

respectivamente. 


Tabla 8.1: Tables y Chains disponibles 


Se debe especificar la table y la chain para cada regia de firewall 
creada, sin embargo las tablas estan divididas, y siendoque las reglas habitual- 
mente son de filtrado, la tabla de filtrado es aquellaque aparece por defecto 
cuando vamosal firewall 

Para ayudar a esta seccion vea la figura 8.11 donde se considera 
un paquete que llega desde internet a nuestro firewall en una “red A” para 
comenzar una conexion. 

Primero el paquete es evaluado por las reglas en la table mangle 
en la chain PREROUTING, en caso de que existaalguna. Luego se analiza por 
las reglas de la chain DstNat en la table NAT para evaluar si el trafico requiere o 
no un destination NAT, es decir, una traduccion de la red de destino. Luego de 
esto el paquete es enrutado. 

Si el paquete esta destinado a una red protegida, entonces este 
es filtrado por las reglas de filtrado de la chain FORWARD y, de ser necesario, el 
paquete pasa por la chain SrcNat de la table NAT antes de llegar a la “red B”. 
Cuando el destino (en la “red B”) decide responder a la peticion iniciada se da 
la misma secuencia de pasoshacia atras. 

Si el destino del paquete inicial no es otra red sino el firewall mismo, 
entonces el paquete pasa por las reglas de mangle en la chain INPUT antes de 
pasar los las de filtrado. Si el trafico llega exitosamente al firewall entonces este 
es procesado por el servicioen cuestion. En cierto punto, el firewall necesita 
responder ala peticion, esta respuestase enruta e inspeccionaen las reglas de 
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la chain OUTPUT de mangle, luegopor la DstNat y luego por la chain OUTPUT de 
la table filter. Finalmente, antes de mandar nuevamente el paquete a internet, 
pasa por la chain POSTROUTING de NAT y mangle. 


Paquet^ dntrante 



NAT table 


MANGLE table 

SRCNAT chain 
▲ 


PREROUTING chain 




MANGLE table 


NAT table 

POSTROUTING chain 


DSTNAT chain 




FILTER table 
OUTPUT chain 


Enrutamiento 




MANGLE table 
OUTPUT chain 

▲ 


MANGLE table 
INPUT chain 




Enrutamiento 


▼ 

FILTER table 

INPUT chain 




MANGLE table 
FORWARD chain 


FILTER table 
FORWARD chain 

MANGLE table 
POSTROUTING chain 


NAT table 
SRCNAT chain 



Figura 8.11: Flujo de los datos en el firewall 


Como vimos anteriormente, las reglas de filtrado son las mas fre- 
cuentemente utilizadas, las chains que poseemos por defecto para trabajar 
son: 


input Todo traficoque va dirigido a cualquier interface del firewall 
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forward Todo trafico que entra por una interface y sale por otra 
output Todo trafico que es iniciado por el router hacia afuera 

Y las principales acciones (las mas utilizadas) que podemos tomar 
sobre un paquete son: 

Accept Aceptar el trafico 
Drop Descartar el trafico 

Add Src to Address List Agregar la direccion de origen a una lista 2 
Add Dst to Address List Agregar la direccion de destinoa una lista 
Reject descartar el trafico pero avisando al remitente del mismo 
JumpPasara otra chain (que puede ser definida por el usuario) 

Log Guardar un registro del trafico 

En la siguiente figura vemos la seccion de configuracion de filter 
rules, arribaa la derecha puede verse desplegado un menu para filtrar por 
chain: 



Figura 8.12: Configuracion de Reglasde Filtrado 


Para la creacionde Reglastenemos las siguientesopciones, primero 
una solapa general (estoes fase de evaluaciondel trafico) en la que podemos 
identificar direccion IPde origen o destino,protocolo (icmp, http, tcp, udp, gre, 
etc.), puerto, interfaces de entrada y salida, marcas en el paquete (yaveremos 
marcado de paquetes),tipo y estadode la conexion (recuerde que el firewall 
entiende estados, es de segundageneracion): 

2 las listas de acceso (Access List) sirven como evaluacion para el firewall, de este modo se 
puede decir, por ejemplo, “Aceptar Todo lo que venga de la Access List LAN” donde LAN con- 
tiene 10.50.0.0/16, 10.150.0.0/16 y 10.100.0.0/16 
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General Advanced Extra Action Statistics 
Chain: forward 


Src. Address: 
Dst. Address: 


Protocol: I 

Src. Port: 
Dst. Port: 
Any. Port: 

P2P: 

In. Interface: 
Out. Interface: | 

Packet Mark: 
Connection Mark: 
Routing Mark: 
Routing Table: 


Connection Type: 
Connection State: 


> 


Figura 8.13: Nueva Regia - Configuracion General 


Luegotenemos la solapa “advanced” donde encontramos algu- 
nas cosas mas, como son muchas no vamos a describirlas todas, pero basica- 
mente las mas utilizadas son lista de direcciones de origen y destino (ya veremos 
listas de direcciones o Address List), direccion MAC de origen, puerto de entra- 
da o salidaen un bridge, banderas TCP (esto sirve por ejemplopara saber si el 
paquete inicia, mantiene o cierra una conexion): 



Figura 8.14: Nueva Regia - Configuracion Avanzada 
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Por ultimo entramos a la fase de acciondel firewall, es decir, cuan- 
do el trafico se evaluay cumplecon todas las condiciones que se establecieron 
en las anteriores configuraciones, entonces el firewall toma una decision sobre 
ese paquete de datos, esto se establece desde la solapa action, donde se 
pueden utilizar cualquierade las acciones descriptas item por item en la pagi- 
na 92 



Figura8.15: Nueva Regia- Accion 


En orden de utilizacion le siguen las reglas de NAT, porque muchas 
veces es necesaria la traduccion de una direccion. Por ejemplo, en nuestroca- 
so, nosotros necesitamos que la direccion 10.200.0.1 pueda ser accedida desde 
internet en el puerto TCP 80, como bien sabemos una direccion IP de una red 
10.200.0.0/16 es privada y por lo tanto no es accesible desde internet, lo unico 
de nuestrared que se puede alcanzar desde internet es la pata publicadel 
router que tiene la direccion 5. 5. 5. 5. Para cumplircon el requerimiento lo que 
debemos hacer es una regia de NAT que traduzca la direccion publica a una 
privada, las traducciones se dividen en: 


dstnat (destination NAT) Se traduce la direccion de destino. 


srcnat (destination NAT) Se traduce la direccion de origen. 


Enel caso ejemplificado, lo que se necesita es un destination NAT, 
es decir, en un paquete que posee una direccion de origen y una direccion de 
destino debemos traducir o modificar la direccion de destino (de la 5. 5. 5. 5 ala 
10.200.0.1), entonces nuestra regia sera: “Todo trafico que venga desde inter- 
net, y que este dirigido a la direccion 5. 5. 5. 5 en el puerto TCP 80, modificar su 
direccion de destino por la 10.200.0.1 en el puerto 80”. Expresarlo con palabras 
es mas dificil que implementarlo: 


94 


Capitulo 8. Puestaen Marcha 



Configuracion Avanzada de RedesLAN 
Bertero - Valentini 




acultad Regional San Nicolas 

'hSCniHSq K6dlOU9| ?9U |/|ICO|92 



Figura 8.16: Reglade NAT - Evaluacion 



Figura 8.17: Reglade NAT - Accion 


Por ultimo tenemos la tabla de marcado (mangle) que tiene por 
principal fin marcar paquetes para futuras acciones sobre el. Si bien para lo 
que mas se usa es para priorizacion de trafico (QoS), tambien puede usarse 
para el firewall a los fines de mantener todo organizado,por ejemplo, una regia 
que dice “Denegar todo el trafico al puerto TCP 80” puede reemplazarse por 
“Marcar como -DENEGAR- el trafico al puerto TCP 80” y luego “Denegar todo 
trafico marcado como -DENEGAR-”, de esta manera se puede llegar a obten- 
er un conjuntode reglas mas ordenadas. El Mangle es raramente utilizado en 
entornos pequenos. 


8.3.4. Configuracion del Router a la LAN 


Configuramos los Bridges y comentamos las interfaces, luego con- 
figuramos las IP como se vio anterior mente: 
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Interfaces 


Wireless 

Bridge 

Mesh 


Routing 

System 

Queues 

Files 


Log 


Figura8.18: Direcciones del equipo 


8 .3.4.1. DNS 


Ponemosen marcha el serviciode DNS, como ya se comento an- 
teriormente, DNS es un serviciode traduccion de nombres (que pueden recor- 
darse facilmente por humanos) a direcciones IP DNS es un servicio complejo 
de capa 7 en el que no vale la pena ahondarya que generalmente en las re- 
des de control (aquellas utilizadas por electronicos) no se utiliza para evitarun 
puntode falla y se utilizan direcciones IP directamente. Sin embargo, como en 
muchos ambientes es mandatoria la utilizacion de DNS (Por ejemplo Internet), 
no podemos pasarlo por alto en este documento. 


Miktrotik Router OS no es el producto mas indicadopara dar servi- 
ces de DNS, sin embargo posee la capacidad de darnos algo sencillo de poner 
en marcha, y no por eso menos efectivo: 




Figura8.19: Serivicode DNS 
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Como se muestraen la figura anterior, configurar el DNS es sencillo, 
uno lo habilita, luego crea entradas estaticas donde especifica el nombre con 
el que se reconocera a un equipo en la red y su direccion IE 


8.3.4.2. DHCP 


DHCP es un servicio que permite asignar dinamicamente las direc- 
ciones IP a unared, es, como DNS, un servicio practicamente indispensable en 
una red grande. El DHCP toma un rango de direcciones dentro de una red, y 
mantiene una base de direcciones IP relacionadas con direcciones de capa 2 
(MAC), de esta manera conoce que direcciones estan tomadas y cuales estan 
disponibles. 


DHCP significa “Protocolo de configuracion dinamica de equipos” 
y, su nombre indicaque debe hacer algo mas que solo configurar IPs, en efec- 
to lo hace, puede configurar muchos parametros de una placa de red de un 
equipo, por ejemplo, su puerta de enlace, sus servidores de DNS, WINS, servi- 
dores PXE para booteosdesde la red, entre muchf simas otras opciones mas. 

Para configurarlo debemos comenzarpor definir la red en la que 
tomara su rol el DHCP (En nuestro caso la red de invitadosy la red de personal), 
esto lo hacemosdesde el menu IP/ DHCP Serveren la solapa Networks: 



Figura 8.20: Redes del DHCP 


El segundopaso es definir el rango para la red, es decir, cuales son 
las direcciones que el DHCP esta habilitado para brindar. Esto puede o no ser 
la red completa. Muchas veces pueden utilizarse 2 o mas servidores de DHCP 
en la red y estos no deben superponer sus rangos, ya que cada unode ellos 
tiene documentadas las direcciones que entrego, pero no las que entrego el 
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otro, por ejemplo, en la red 192.168.0.1/24, podria tener un DHCP que entregue 
direcciones entre la 192.168.0.1 y la 192.168.0.19, sideseara poner otro DHCP en 
la misma red, deberia usar un rango que vaya como maximode la 192.168.0.20 
a la 192.168.0.254. Esto es totalmente hipotetico ya que suelen dejarse direc- 
ciones fuera del rango de cualquierade los DHCPs, para, por ejemplo, el mismo 
servidorde DHCP 

Configuramos entonces los rangos de IP que entregaran nuestros 
DHCPs, que como ya mencionamos son dos, el de la red de invitados y el de la 
red de personal, esto se hace desdeel menu IP/ Pool: 



Figura8.21: Rango de alquilerdel DHCP 


como ultimo paso en la configuracion del DHCP es definir el servi- 
cio propiamente dicho, en el, se asinga un rango de los previamente estableci- 
dos, esto se agrega desde el menu IP/ DHCP Server en la solapa DHCP : 



Figura 8.22: Servicio de DHCP 


8.3.4.3. PPTP 


PPTP es un protocolode tunelque se utiliza en redes privadas vir- 
tuales (VPN, vea la seccion 4.6). Mikrotik permite validar usuarios para habilitar 
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un tunelPPTPel cual,cabe reiterar, es una via segura de comunicacionentre 
una red publica y una privada (o bien dos privadas a traves de una publica). 
Los pasospara configurarla en el Router son: 

Primero que nada, habilitar las consultas remotas en caso de que 
el equipo brinde servicios de DNS, esto significaque debemos controlarlas con- 
sultas desde redes indeseadas mediante el firewall. Esto se hace desde el menu 
IP / DNS en el boton Settings: 



Figura 8.23: DNS - Aceptar peticiones remotas 


Seguimospor el firewall, es necesario habilitar el puerto de servicio 
para PPTP (desde la solapa Service Ports): 3 : 



X * ftp 21 

X * h323 

X * ire 6667 

2.PP.tp. 

X * sip 5060, 5061 

X * tftp 69 


Figura 8.24: Firewall - Puerto s de Servicio 


Ultimo paso de prep aracion para comenzarcon PPTP: Crear un 
pool de direccionesIP para los clientes PPTPal igualque como se realizo para 
DHCP esto se hace desde el menu IP / Pool: 


3 en caso de tenerreglas defiltrado en la chain de input agregar la excepcion para protocolo 
GRE y Puerto TCP 1723 (conexiones requeridas por pptp). Vease el apartado 8. 3. 4.4 
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IP Pool 


Pools Used Addresses 

SHE 


|Name 

Addresses 

ir'LAN-Invitados 

10.100.0.1-10.100.0.254 

Ur 3 LAN-Personal 

10.150.0.1-10.150.0.254 

‘rr'PPTP-Clients 

10.150.150.0/24 


IP Pool <PPTP-Clients> 


Addresses: j lO. 150. 150. 0/24 j y 

n 


Next Pool: none 


*i 

OK I 


Cancel 


Apply 


Copy 

Remove 


Figura 8.25: IP Pool - Direcciones para clientesPPTP 


En las configuraciones de PPTP podemos notar 3 divisiones: el perfil 
de la conexion (IPs, DNS, encriptacion, etc), la interfaz virtual del servicio y los 
usuarios para validar 4 . 

Primero se crea el perfil: 



Figura 8.26: PPTP - Perfil de conexion 


4 ppTptambien puede validar con RADIUS, peroa los fines de este problemanos parecio mas 
visual configurarlo con usuarios locales en el Mikrotik 
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A continuacion, creamos la interfaz del servicio, desde la solapa 
Interface, primero configuramos el PPTP desde el boton PPTP Server y luego 
agregamos la interfaz, este ultimo paso no requiere ningun tipo de configu- 
racion mas el que el nombre, entonces: 


ppp 


Interface pppoE Servers 5ecrets Profiles Active Connections 



0 items out of 15 


Figura 8.27: PPTP - Configuracion del servicio 



Figura 8.28: PPTP - Agregar Interfaz 


La infraestructura para el tunel ya esta lista, lo unico que falta es 
crear los usuarios, esto se hace desde la solapa Secrets 
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Figura 8.29: PPTP- Agregar Usuarios 


8.3.4.4. Firewall 


Como el Firewall es una de las cuestiones mas importantes en lo 
que hacen a este dispositivo de red, es por esto que su configuracion general 
se describioen la seccion anterior y aqui solo nos limitaremos a ingresar las re- 
glas que pensamos en el disenode la seccion 7.1.7. Entonces, ingresaremos las 
reglas organizadasde la siguiente manera: 


Filter Rules NAT Mangle Service Ports Connections Address Lists l 

+ 

= ^ ss 

a ¥ 


Name 

Address 



O SERVERS 

10.50.0.0/16 



O SEGURO 

10.150.0.0/16 



O SEGURO 

10.50.0.0/16 



O PERSONAL 

10.150.0.0/16 



OLAN 

10.150.0.0/16 



OLAN 

10.100.0.0/16 



OLAN 

10.50.0.0/16 



O INVITADOS 

10.100.0.0/16 



ODMZ 

10.200.0.0/16 



Figura 8.30: Listas de Direcciones 
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Filter Rules NAT Mangle Service Ports Connections Address Lists Layer7 Protocols 


BBBBB 


oo Reset All Counters 


# [Action 


| Chari 


| Protocol |Dst. Port |ln. Interface [src. Address List 


;; PANICO- Input 
X V accept | input 

Drop - Conexiones invalidas 
Xdrop input 

;; Accept - Conexiones establecidas 
0 accept input 

Accept - Conexiones Relacionadas 
0 accept input 

Accept - DNS Query 
0 accept 
Accept - Ping 
<0 accept 

;; Accept - Winbox 
0 accept 
Accept - SSH 
0 accept 
Accept - PPTP 
0 accept 
Accept - PPTP 
0 accept 

LOG - TODO - From Any 
10 X ♦ log input 

Drop - TODO - From Any 
Xdrop input 


input 


input 


input 


input 


input 


input 


17 (udp) 53 

1 (icmp) 

6 (tcp) 8291 

6 (tcp) 22 

6 (tcp) 1723 

47(gre) 


bridge-LAN-servers 

bridge-LAN-servers 


Figura8.31: Reglasde Input 


Filter Rules NAT Mangle Service Ports Connections Address Lists Layer? Protocols 

7 Reset CounterT] [oo Reset All Counters^ | Find \ | forward 

# | | Action [chain | Protocol |pst. Port |ln. Interface |src. Address List 

;;; PANICO! 

12 |X I ^accept Iforward 111 I 

;;; Dropear conexiones invalidas 

13 X drop forward 

jj; Aceptar conexiones establecidas 

14 ^accept forward 

;;; Aceptar conexiones related 

15 0 accept forward 

;;; Reglas sobre equipos de DMZ 

16 fa jump forward DMZ 

;;; Reglas sobre equipos invitados 

19 fa jump forward INVITADOS 

Reglas sobre Mensajeria 

20 fa jump forward 

;;; Reglas sobre Navegacion 

35 fa jump forward 

;;; Reglas sobre Transferencia de Archivos 

36 fa jump forward 

;;; Reglas sobre Servicios de Red 

44 fa jump forward 

Hi Loguear tooooooodo! 

55 1 X ♦ log forward 

;;; Denegar tooooooodo! 

56 X drop forward 


Figura 8.32: Reglasde Forward 


Filter Rules NAT Mangle Service Ports Connections Address Lists Layer7 Protocols 




OO Reset All Counters 


TL 


I Chain 


1 Action 


| Protocol |Pst. Port |ln. Interface 


Aceptar Torrents 
10 0 accept 

;;; Aceptar P2P 
■1 -^accept 

;;; Aceptar SMB 

12 0 accept 
Hi Aceptar FTP 

13 0 accept 

;;; Aceptar TFTP 
•4 0 accept 


Estandar - File Sharing 
Estandar - File Sharing 
Estandar - File Sharing 
Estandar - File Sharing 
Estandar - File Sharing 


6 (tcp) 
6 (tcp) 
6 (tcp) 



Figura 8.33: Reglasde Transferencia de archivos 
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Filter Rules | NAT Mangle Service Ports Connections Address Lists Layer7 Protocols 

^~|| q | ^ ”” j | t23 | | Y | | IP Reset Counters 1 1 00 Reset All Counters^ “ ' | 




Chain 


Protocol Dst. Port In. Interface Src. Address List 


;;; Aceptar IMAP 

22 f accept Estandar ■ 

jj; Aceptar IMAP SSL 

23 if accept 
;;; Aceptar POP 

24 f accept 
;;; Aceptar POP SSL 

25 f accept 
;;; Aceptar SMTP 

26 if accept 
;;; Aceptar SMTPS 

27 f accept 
;;; Aceptar SMTPS 

28 accept 
;;; Aceptar MSN 

29 1 X | if accept | Estandar • 

;;; Aceptar MSN 

30 1 X | ^accept ~ 

;;; Aceptar Yahoo MSN 

31 [X | ^accept ~ 

;;; Aceptar Google talk mensajero 

32 1 X | f accept | Estandar • 

Aceptar Google talk mensajero 

33 1 X f accept Estandar - 

;;; Aceptar ICQ/ AIM 

34 1 X | y accept | Estandar ■ 

;;; Aceptar IRC 

35 1 X / accept Estandar ■ 


Estandar 


Estandar 


Estandar 


Estandar 


Estandar 


Estandar 


Estandar 


(Estandar 


Mensajeria 

Mensajeria 

Mensajeria 

Mensajeria 

Mensajeria 

Mensajeria 

Mensajeria 

Mensajeria 

Men sajeria 

Mensajeria 

Mensajeria 

Mensajeria 

Mensajeria 

Mensajeria 


6 (tcp) 143 

6 (tcp) 993 

6 (tcp) 110 

6 (tcp) 995 

6 (tcp) 25 

6 (tcp) 587 

6 (tcp) 465 

1 6 (tcp) 11863 

1 17 (udp) 1 631 
[6 (tcp) 1 5050 

1 6 (tcp) 15222 

1 6 (tcp) 1 5223 

1 6 (tcp) |5190 

|6 (tcp) 1 8061 


Figura 8.34: Reglasde Mensajeria 


Filter Rules NAT Mangle Service Ports Connections Address Lists Layer7 Protocols 


00 0 5] 0 Reset Counters ~|[ 


00 Reset All Counters 


Protocol Dst. Port In. Inte rfac e Src. A ddress List 


# [Action 


Chain 


;;; PANICO - Input 

0 X if accept input 

;;; Drop - Conexiones invalidas 

1 Xdrop input 

;;; Accept - Conexiones establecidas 

2 if accept input 

;;; Accept - Conexiones Relacionadas 

3 if accept input 

;;; Accept - DNS Query 

4 if accept input 

;;; Accept - Ping 

5 f accept input 

a; Accept - Winbox 

6 if accept input 

;;; Accept - SSH 

7 if accept input 

;;; Accept - PPTP 

8 if accept input 

;;; Accept - PPTP 

9 if accept input 

LOG - TODO - From Any 

10 X ♦log input 

;;; Drop - TODO - From Any 

11 Xdrop input 


17 (udp) 53 

1 (icmp) 

6 (tcp) 8291 bridge-LAN-servers 

6 (tcp) 22 bridge-LAN-servers 

6 (tcp) 1723 

47 (gre) 


LAN 

SEGURO 


Figura 8.35: Reglasde Servicios de Red 


Filter Rules NAT Mangle Service Ports Connections Address Lists Layer7 Protocols 

30 00 0 S | Reset Counters 1 1 00 Reset All Counters ] | \ 

# Action Chain P rotocol Ds t. Port In. Interface 

;;; Aceptar HTTP 

38 ^accept Estandar - Navegacion 6 (tcp) 80 

;;; Aceptar HTTPS 

39 ^accept Estandar - Navegacion 6 (tcp) 443 



| Src . Address List 


Figura 8.36: Reglasde Navegacion 
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Filter Rules NAT Mangle Service Ports Connections Address Lists Layer7 Protocols 

SH 00 0 ffl [ g= Reset Counters 1 1 oo Reset All Counters'] | r':x: \ 


* 

Action 

| Chain 

Protocol Dst. Port In. Interface 

Src. Address List ! 

;;; Aceptar ICMP 1 

58 

^ accept 

Invitados 

1 (icmp) 


JJi 

; Denegar tooooooodo! 



59 

Xdrop 

Invitados 




Figura 8.37: Reglasde Invitados 


Filter Rules NAT Mangle Service Ports Connections Address Lists Layer7 Protocols 



Figura 8.38: Reglasde DMZ 


Notese la utilizacion de listas de direccionesy reglas de saltopara 
mantener todo organizado, ademas notese que se dejaron algunas reglas de- 
shabilitadas, estan dispuestas a los fines de dejarlascomo documento, para 
que si en algun momento desea dejar de filtrarse por ejemplo, el servicio de 
messenger (msn) pueda habilitarse sin necesidadde loguear o investigarel ser- 
vicio, simpemente habilitando la regia. 


8.3.5. Configuracion del Router a Internet 


El router que se encuentra entre la DMZ e internet, no posee grandes 
configuraciones, ya que su principal funcion es la de firewall, y como ya hemos 
mostrado suficientes datos sobre firewall creemosque pegar las reglas (que son 
muy similares) no agrega valor al documento. Lo que si agrega valor es mostrar 
lo que este otro equipo incluye de nuevo, y es el NAT. 

Recordemos que este equipo traduce las direcciones de internet 
para los clientes y de la DMZ para los clientesque provienen de internet asi que 
es en este equipo que vemosel NAT en accion. Un equipo que esta en inter- 
net, para acceder a la web de la DMZ, no puede apuntaral equipo 10.200.0.1, 
porque de ningunamanera conoce esa red que es privada, lo que debe hac- 
er es dirigirse a la ip 5. 5. 5.5 (IP del firewall en internet) y este debe saber, que 
una consultaque le llegue,a determinado puerto, debe pasarla al equipo 
10.200.0.1, es decir, debe traducir la direccionde destino (dstnat): 
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Figura 8.39: Destination NAT 



Figura 8.40: Destination NAT 


El mismo caso es para PPTI^el servicio para la VPN lo da el Router- 
Board (LAN-DMZ), debemoshacer un destination nat para TCP 1723 y GRE 

Ademas, debemos enmascarar los clientescon la ip publica para 
que sean capaces de navegar, siun paquete de la 10.150.0.1 hace una peti- 
cion de http a google.com directamente, sin ser enmascarado, google.com 
puede intentar devolver esa peticion (si es que no la filtra) pero nunca va a 
saber como llegara la direccion 10.150.0.1 porque es privada. Lo que se utiliza 
es la traduccion de la direccion de origen, haciendo que todo lo que venga de 
la 10.150.0.0/16 se enmascare con la IP publica del mikrotik: la 5. 5. 5. 5. Para decir- 
lo de otro modo, en internet, toda maquina de nuestra red, se identificara con 
la IP 5. 5. 5. 5, y es el firewall que esta en esa direccion el que se encarga de entre- 
garlo al destinatario original. Entonces la regia es toda ip de origen que sea de 
una red privada, en la chain srcnat, sera enmascarada (action=masquerade). 

En este punto vamosa permitirnos volver atras, llamando a la re- 
flexion, segun todos los conceptos que se han visto en este documento, ^Es cor- 
recto que la DMZ, por mas que este filtrada, conozca las rutas hacia las redes 
internas de mayor seguridad? La respuestaes “no”, si lo pensamos bien, cuando 
un equipodesde una red segura abre una conexion hacia la DMZ, la respuesta 
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del equipode DMZ caera en la regia de “Aceptar Conexiones Establecidas”, 
y por lo tanto estaremos violando la regia mas mandatoria de una DMZ: No 
se permiten conexiones a las redes mas seguras. Es por esto que, si bien no se 
agrego en la seccion anterior, donde se trata la configuracion del RouterBoard, 
no estara de mas si volvemos para hacerleun Source Nat que enmascare todo 
el traficocon la IPdeDMZdel Router (10.200.255.254). 


8.4. Configuracion de los Clientes 


8.4.1. Wi-Fi 


Recordemos que la Wi-Fi se configure como WPA2 Enterprise con 
encriptacion AES, validando usuario y contrasena sin certificado, tanto para la 
red de personal como para la red de invitados. Esto se configura en el cliente 
de la siguiente man era 5 : 



Escriba la informacion de la red inalambrica que desea agregar. 


Nombre de la red: 
Tipo de seguridad: 
Tipo de cifrado: 
Clave de seguridad: 


TDm-Personal 


| WPA2-Enterprise 


71 □ Ocultar ci 


[V] Iniciar esta conexion automaticamente 
0 Conectarse aunque la red no difunda su nombre 

Advertencia: esta opcion podria poner en riesgo la privacidad del equipo. 


Siguiente ] [ Cancelar 


Figura8.41: Configuracion de Clientes - WiFi 


5 Las capturas de pantalla son tomadas bajo Microsoft Windows 7 Professional, en la version 
Windows XP Service Pack 3 ya se puede conectar a redes WPA2 Enterprise y la configuracion es 
muy similar 
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Figura 8.42: Configuracion de Clientes - WiFi 




Selecdone el metodo de autenticaddn: 

| Contrasena segura (EAP-MSCHAP v2) 

□ Habilitar reconexion rapida 
Q Aplicar Protection de acceso a redes 
Q Desconectar si servidor no presenta TLV con er 

□ Habilitar privaddad 
de idenbdad 


Propiedades de EAP MSCHAPv2 


_ Usar automaticamente el nombre de inicio de 
B sesion y la contrasena de Windows (y dominio. si 
existe alguno). 


| Acep tar 1 [ Cancelar 


Figura 8.43: Configuracion de Clientes - WiFi 



Configuracion avanzada < 


Configuracion de 802. LX ! Configuracion de802.1lj 

[3 Espedficar modo de autenticadon: 

[ Autenbcadon de usuarios ▼ Guardar aedenaales 

O Biminar aedenaales de todos los usuarios 

Seguridad de Windows 



Guardar credenciales 

Guardar las credenciales permite que el equipo se conecte a la red sin 
tener iniciada una sesion (por ejemplo, para descargar actualizaciones). 


| gabriel.bertero 


I 1 


[ Aceptar | I Cancelar 



Aceptar | I Cancelar 


Figura 8.44: Configuracion de Clientes - WiFi 
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8.4.2. VPN 


Recordemos que la conexion VPN es PPTP con cifrado y validacion 
mediante MS-CHAPv2. Para configurarla en el cliente, vamos a “Conexiones de 
Red”, “Crear una Conexion Nueva”. 



Figura 8.45: Configuracion de Clientes- VPN 


Asistente para conexion nueva 


Conexion de red 

iComo desea conectarse a la red en su lugar de trabajo? 



Crear la conexion siguiente: 

Conexion de acceso telefomco 

Conectarse usando un modem y una Ifnea telefonica analogica o una Ifnea 
telefonica ISDN (Red digital de servicios integrados, RDSI). 

® Conexion de red privada virtual 

Conectarse a la red usando una conexion de red privada virtual (VPN) a traves de 
Internet. 


Figura 8.46: Configuracion de Clientes - VPN 


Luego nos solicita: 


Nombrede la Organizacion: Es solo un nombrepara reconocer la conexion. 


8.4. Configuracion de los Clientes 
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nosotros elegimos TDIII. 

Red Publica: Se refiere a la conexion que utiliza antes de conectar a la 
VPN, tildar “No usar la conexion inicial”. 

Nombrede Host oIP:Esel servidor de pptp, ingresar vpn.tdiii.com 6 5. 5. 5. 5. 


Eso crea una conexion con valorespor defecto, para reforzar la 

seguridad: 


ethO 

•A Conectado 
r ^_ | Adaptador Etl 



□ Guardar este nombre de usuario y contrasena patalos 
siguientes usuarios: 


General Qpciones ; Seguridad | Funciones de red 

Opciones de seguridad 
O T fpica (configuracion recomendada) 

Validar mi identidad como sigue: 


Q Usar automaticamente mi nombre de ir 
contrasena de Windows (y dominio si e 

□ Requerir cifrado de datos (desconectai 

© Avanzada (configuracion personalizada) 



Propiedades ^ ; Ayuda 





Configuracion IPSec... 


Nivel maximo de cifrado (desconectar si el servidor no acepta) » 

Seguridad de inicio de sesion 
O Usar el protocolo de autenticacion extensible (EAP) 


D Permitir estos protocolos 

□ Contrasena no cifrada (PAP) 

□ Protocolo de autenticacion de contrasena de Shiva (SPAP) 

□ Protocolo de autenticacion pot desaffo mutuo (CHAP) 

□ Microsoft CHAP (MS-CHAP) 

gf Microsoft CHAP version 2 (MS-CHAP v2) 

Q Para protocolos basados en MS-CHAP, usar automaticamente mi 
nombre de inicio y contrasena de Windows (y dominio, si existe) 


Figura 8.47: Configuracion de Clientes- VPN 


Ingresamos nombre de usuario y contrasena y listo, un icono ce- 
leste nos muestraque la conexionha sido exitosa. 


[TDIII 

jConectado 

Minipuerto WAN (PPTP) 



Figura 8.48: Configuracion de Clientes - VPN 
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Pruebas y Medidas de Seguridad 


Resumen: Administrar la seguridad de una red es un problema muy 
extenso que siempre queda en las manos del personal mas especializado, 
tal es asi que no podemos pretender mostrar demasiado sobre este tema, 
sin embargo, haremoslo posible por mostrar en este capitulo, las formas 
mas basicas de controlarla seguridad de la red. 


El primer paso para mejorarla seguridad de una red es conocer 
sus vulnerabilidades, para poder recien en ese momento, y si estaa nuestro 
alcance, mitigarlas. Para esta tarea, se procediode la siguiente manera: 


9.1. Evaluacion de los Servicios 


Corroboramos mediante la utilizacion de los servicios que no quede 
nada abierto de manera groserahacia redes que no corresponda. Para esto, 
fuimos “poniendonos”en las distintas redes y probando los servicios 1 . 


^uando uno piensa en seguridad de una red, instantaneamente piensa en intrusos o 
en ataques, pero la seguridad tambien engloba que los servicios permitidos se mantengan 
disponibles, es decir, debemos asegurarnos que nadie sin derechos pueda acceder y que nadie 
con derechos se vea imposibilitado de usar los servicios. 


Ill 
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| Archivo Edicion 


Q Atras - J y 


Conectar a tarry 

B® 



KJ 



Direction \\larry.tdiii.com\ datos 
Carpetas 
@ Escritorio 
fflQ Mis documentos 
ffl j Mi PC 
IS Mis sitios de red 
5/ Papelera de recidaje 
ffl ^ Mis imagenes 


Conectando con larry.tdiii.com 
Usuario: C jvalentiniadmin 


••I 


□ Recordar contrasena 


de Internet 
Explorer 

0 


iller QuickTime 
Player 



Figura 9.1: Accesoa Archivos Compartidos 



Figura 9.2: Accesoa Archivos Compartidos 


Notese como, desde la red de personal (10.150.0.0/16) puede ac- 
cederse al servidorde archivos compartidos (larry.tdiii.com, en la ip 10.50.0.2, 
que da los servicios de archivos e intranet). Sin embargo, veamos en la siguien- 
te figura, que conectandosea la red de invitados (si bien el equipo se puede 
alcanzar, lo que queda evidenciadoen los pingde la izquierda) es imposible 
accederal mismo: 
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Figura 9.3: Accesoa Archivos Compartidos 


De la misma manera probamos con la intranet, de la misma ma- 
nera, se la puede acceder desde la red de personal y no desde la de invitados 
(No agrega valor anexar mas screenshots ya que se trata del mismo servidor, el 
10.50.0.2). 


Desde cualquier red tieneque poder accederse a DMZy a Inter- 
net, probemos: 


(9 Inicio 

«• c a 



File Edit View Search Terminal Help 
jorge@jorge-laptop:~$ ifconfig etho 

ethO Link encap: Ethernet HWaddr 00:lf :e2:14:5a:9b 

inet addr:10.5O.50.100 Bcast:10.50.255.255 Mask:255.2S5.0.0 

inet6 addr: fe80: :21f :e2ff :fel4:5a9b/64 Scope.'Llnk 
UP BROADCAST RUNNING MULTICAST MTU: 1500 Metric :1 
RX packets: 133341 errors:0 dropped:0 overruns:© frame:© 

[ TX p ackets: 144796 errors :0 drop ped : 0 o verruns:© carrier:© 


Problems de Ingenieria 



listed esta aqui: Inicio 

Acerca De Este Proyecto... GRACIAS ! ! 


* Introduction 
■ Info de la Red 
Entrevista a un Profesor 


Gracias por visitarnosl 


Tecnicas Digitales III 

Bienvenido, esta visitando la web de 
Tecnicas Digitales III disenada por 
Gabriel Bertero y Jorge Valentini, 
esperamos que sea de su agrado... 
Esta web tiene como objetivo el de 
probar las reglas de firewall 
aplicadas para el problems de 
ingenieria de TDIII ... 


Info sobre esta Web 

Esta web que estas visitando, es la 
web que tenemos al pulico, aqui se 
puede entrar incluso desde internet, 
para eso, este servidor esta en una 
zona de seguridad media (DM2). Un 
servicio tipico para una web como 
esta en una empresa, es el de 
permitir a cualquiera en internet que 
suba un curriculum, pero en 
realidad, cualquier servicio web que 
se brinde al publico debe ponerse 
preferentemente en DMZ 


Links Interesantes 

Te recomendamos que visites: 

■ http://sectools.ora/ 

■ http://www.mikrotik.com/ 

■ https://www.virtualbox.ora/ 

■ http://www.diarioti.com/ 

■ http://www.netfilter.ora/ 


Figura 9.4: Acceso a DMZ 


Vemos que desde la LAN de servidores (10.50.0.0/16) podemos ac- 
ceder correctamente a curly.tdiii.com, que es el equipo 10.200.0.1 de la DMZ, 
tambien lo hicimos desde todas las otras redes y tambien funciona correcta- 
mente (por supuesto curly.tdiii.com desde internet no resuelve la 10.200.0.1 sino 
la 5. 5. 5.5 quien despues le aplicaun destination NAT): 


9.1. Evaluacion de los Servicios 
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Figura 9.5: Accesoa DMZ 


Tambien corroboramos que desde todas las redes internas se puede 
accedera internet y que desde la DMZ no se puedeaccedera los servicios de 


LAN: 



Google 

C ^Argentina 


Figura 9.6: Acceso desde DMZ 


9.2. Escaneode puertos 


Utilizamos la herramienta nmap para escaneo de puertos, nmap 
corre sobre sistemas GNU/Linux. Esta herramienta consulta los puertos abiertos 
de un host o red y de esta manera nos avisaque puertas de entrada hay a una 
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red, algunas son necesarias, otras son simplemente puntos debiles en la red, 
veamos como funcionala herramienta: 


• H jorge@jorge-laptop: - BBli 

File Edit View Search Terminal Help 
jorge@jorge-laptop:~$ ifconfig ethO 

etho Link encap: Ethernet HWaddr 0O:lf :e2:14:5a:9b 

tnet addr:lO.5O.50.100 Bcast:10.5O.255.255 Mask:255.255.0.0 

tnet6 addr: fe80: :21f :e2ff :fel4:5a9b/64 Scope:Ltnk 
UP BROADCAST RUNNING MULTICAST MTU: 1500 Metric :1 
RX packets: 157765 errors:© dropped:© overruns:© frame:© 

TX packets: 170128 errors:0 dropped:© overruns:© carrier:© 
collisions:© txqueuelen:l©06 

RX bytes: 163147227 (163.1 MB) TX bytes : 16758456 (16.7 MB) 

Interrupt : 20 Memory : f eOOOOOO - f e020000 

jorge@jorge-laptop:~$ sudo nmap -sS 16.50.255.254 

Starting Nmap 5.21 ( http://nmap.org ) at 2011-12-11 18:46 ART 
Nmap scan report for 10. 50. 255. 254 
Host is up (0.0011s latency). 

Not shown: 997 filtered ports 
PORT STATE SERVICE 
22/tcp open ssh 
1723/tcp open pptp 
8291/tcp open unknown 

MAC Address: ©0:©C:42:0E:3C:EA (Routerboard.com) 

Nmap done: 1 IP address (1 host up) scanned in 4.16 seconds 

jorgefljorge-laptop:~$ | 


Figura9.7: Escaneode Puertos 


Analicemos la informacion de la figura anterior, la IP de mi equipo 
(se ve en el comando “ifconfig”) esta en la red de servidores, pero particular- 
mente en el segmento 10.50.50.0/24, que es la unica porcion de red desde la 
que se permite administrar los routers. Los puertos que se ven abiertos son: el 22, 
el 1723 y el 8291 2 . El puerto 1723 el router lo necesitapara poder dar el servicio 
de PPTI? por eso no esta filtrado, los otros dos sirven para administrar el router, 
tanto por SSH como por Winbox, pero, como bien se menciono anteriormente 
en este parrafo, estamos en una red que admite la administracion, intentemos 
por ejemplo desde la red de invitados... 


jorge@jorge-laptop : ~$ ifconfig eth2 

eth2 Link encap: Ethernet HWaddr 00:6©:6e:O0:fl:7d 

inet addr: 10. 100. 0.248 Bcast:10.10O.255.255 Mask:255.255.0.0 

inet6 addr: fe80: :260:6eff :fe00:fl7d/64 Scope: Link 
UP BROADCAST RUNNING PROMISC MULTICAST MTU: 1500 Metric :1 
RX packets: 201 errors:© dropped:© overruns:© frame :0 
TX packets: 334 errors:© dropped:© overruns:© carrier:© 
collisions:© txqueuelen:1000 

RX bytes: 16091 (16.0 KB) TX bytes:35873 (35.8 KB) 

jorge@jorge-laptop:~$ sudo nmap -sS 10.50.255.254 

Starting Nmap 5.21 ( http://nmap.org ) at 2011-12-11 18:56 ART 

Note: Host seems down. If it is really up, but blocking our ping probes, try -P 

Nmap done: 1 IP address (0 hosts up) scanned in 3.06 seconds 
jorge@jorge-laptop:~$ sudo nmap -sS 10.50.255.254 -PN 

Starting Nmap 5.21 ( http://nmap.org ) at 2011-12-11 18:56 ART 
Nmap scan report for rb.tdiii.com (10.50.255.254) 

Host is up (6.0032s latency). 

Not shown: 999 filtered ports 
PORT STATE SERVICE 
1723/tcp open pptp 

Nmap done: 1 IP address (1 host up) scanned in 19.21 seconds 


Figura 9.8: Escaneode Puertos 


2 Los parametros “sS” que se le pasan a nmap, no son arbitrarios o caprichosos, es para que 
analice TCP y UDP de manera lo suficientemente agresiva, tanto es asi que requiere altos privile- 
gios desde el cliente para ejecutarlo, es por eso que se invoca el comando “sudo” cuya accion 
es correr el siguiente comando con los mas altos privilegios del sistema. 


9.2. Escaneo de puertos 
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Como se ve, ocurren dos cosas, en una primera instancia nmap 
nos dice que el host parece estar cafdo, esto es porque no se permite ping 
(ICMP) desde la red de invitados, entonces sale una advertencia que nos dice: 
“Parece que el host esta cafdo, si no lo esta y solo esta bloqueando nuestras 
pruebas de ping, entonces ejecute nmap con el parametro -PN”. Hacemos ca- 
so a la instruccion y obtenemos el resultado, solo se permite conectarse a una 
VPN a traves de PPTI? de esta manera escaneamos todos los puertos corrobo- 
rando que todo sea como se planifico. 

Una herramienta muy util es zenmap que es un frontend de nmap, 
pero que ya tiene preseteados algunos comandos ya parametrizados y listos 
para lanzar: 


Target: 1 10.200.0.1 


Profile: Intense scan 


s 


Command: jnmap-T4-A-v-PE-PS22,25,80-PA21,23,80,3389 10.200.0.1 


Hosts Services 

OS Host 

curly.tdiii.com ( 


Nmap Output Ports /Hosts Topology Host Details Scans 

nmap-T4-A-v-PE-PS22,25,80-PA21, 23, 80, 338910.200.0.1 ;J 1 Details 


| html -title: Inicio 
110/tcp closed pop3 
143/tcp closed imap 
443/tcp closed https 

445/tcp open netbios-ssn Samba smbd 3.X (workgroup: TDIII) 

465/tcp closed smtps 

587/tcp closed submission 

993/tcp closed imaps 

995/tcp closed pop3s 

1723/tcp closed pptp 

3389/tcp closed ms-term-serv 

8291/tcp closed unknown 

Device type: general purpose|WAP| router 

Running (JUST GUESSING) : Linux 2.6.X (97%), D-Link embedded (89%), Linksys embedded (89%), 
Peplink embedded (89%) 

Aggressive OS guesses: Linux 2.6.22 (97%), Linux 2.6.15 - 2.6.27 (95%), Linux 2.6.22 
(Fedora Core 6) (94%), Linux 2.6.23 (93%), Linux 2.6.20 (93%), Linux 2.6.20 (Ubuntu, 

X8664) (93%), Linux 2.6.17 - 2.6.31 (92%), Linux 2.6.21 (91%), Linux 2.6.15 - 2.6.30 (90% 
), Linux 2.6.18 - 2.6.27 (90%) 

No exact OS matches for host (test conditions non-ideal). 

Uptime guess: O.052 days (since Sun Dec 11 17:52:09 2011) 

Network Distance: 2 hops 

TCP Seouence Prediction : Difficulty=199 (Good luck!) 

IP ID Sequence Generation: All zeros 
Service Info: OS : Linux 


Host., s cr ipt re sult s ; 

|_smbv2-enabled: Server doesn't support SMBv2 protocol 
j smb-os-discovery : 

| OS: Unix (Samba 3.5.6) 
j Name: UnknownNUnknown 
| System time: 2011-12-11 19:07:43 UTC-3 


Filter Hosts I 


TRACER0UTE (using port 110/tcp) 

HOP RTT ADDRESS 

1 4.02 ms rb.tdiii.com (10.50.255.254) 

2 6.18 ms curly.tdiii.com (10.200.0.1) 


Figura 9.9: Escaneode Puertos 


9.3. Herramientas mas completas 


Como un trabajo mas fino de seguridad(en el que no nos involu- 
craremos en este trabajo) se pueden utilizar otras herramientas que hacen es- 
caneos muchfsimomas profundos y de otras cosas como proteccion antivirus, 
software espfa y actualizaciones de seguridad de software, ejemplos de estas 
(Con licencia por IP escaneada) son Nessus yGFILan Guard. 

Ademas hay montones de herramientas de seguridad, para difer- 
entes cuestiones, escaneo de seguridad de contrasenas, de redes, juntar in- 
formacion y demas, pueden encontrarse muchas de ellas, algunas gratuitas y 
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otras pagas, en internet 3 . 


9.4. Fuerza Bruta 


El metodo de ataque conocido como “Fuerza Bruta” sirve para 
obtener nombres de usuarioy contrasenas, es un metodo algo arcaico (pero 
muy efectivoen redes que no se protegen contra el), y es un metodo de prue- 
ba y error automatizado, es decir, se utiliza un software al que se le pasan usuar- 
ios comunes (como admin, administrator, root, etc) o bien usuarios conocidos 
que se hayan podido obtener de una u otra manera y un “diccionario” de 
contrasenas, de esta manera, el software intenta validarse con todas las com- 
binaciones posibleshasta que obtiene una conexion exitosa. 

Escribiendo el documento se penso mucho si debfamos resolver 
esto aqui o en el capitulo anterior en la configuracion de firewall, pero creemos 
que mitigareste tipo de cuestionesya no es de firewall sino de pruebas de 
seguridad de post produccion, es por eso que mostramos como se realiza el 
filtrado en esta seccion. 

En esta red poseemos un serviciode validacion que es crftico: el 
PPTPSi un usuario malintencionado accede por fuerza bruta a PPTP esta dentro 
de la LAN (Por mas que podrfa filtrarse particularmente la VPN), para evitar los 
ataques por fuerza bruta, el metodo recomendado por mikrotik es, agregar al 
firewall las reglas (pseudocodigo): 


1. Cuando se abre una conexion nueva a PPTI^se pasa la IPde origena una 
Address List llamada PPTP-Conl por 1 minuto 

2. Cuando se abre una conexion nueva a PPTP desde una IP de la Address 
List PPTP-Conl, se pasa la IP de origen a una Address List llamada 
PPTP- Con2 por 1 minuto 

3. Cuando se abre una conexion nueva a PPTP desde una IP de la Address 
List PPTP-Con2, se pasa la IP de origen a una Address List llamada 
PPTP- Con3 por 1 minuto 

4. Cuando se abre una conexion nueva a PPTP desde una IP de la Address 
List PPTP-Con3, se pasa la IP de origen a una Address List llamada 
PPTP- Con4 por 1 minuto 

3 Siempre que se hagan pruebas que sea en redes controladas ya que muchas veces se 
pueden ocasionar danos, ademas muchas veces puede ser considerado una violvacionde las 
legislaciones vigentes 


9.4. Fuerza Bruta 
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5. Cuando se abre una conexionnueva a PPTP desde una IP de la Address 
List PPTP-Con4, se pasa la IP de origen a una Address List llamada 
PPTP- Con5 por 1 minuto 

6. Cuando se abre una conexionnueva a PPTP desde una IP de la Address 
List PPTP-Con5, se pasa la IP de origen a una Address List llamada 
PPTP- BlackList por 3 horas 

7. Se rechaza TODA conexiona PPTP desde la Adress List PPTP-BlackList 


Logicamente los nombres de las Address Lists son arbirtrarios, tam- 
bienlos tiempos y la cantidadde conexiones permitidas, pero con esas reglas, si 
alguien intenta desde internet 5 veces conectarse a PPTP aintervalos de menos 
de 1 minuto quedara bloqueado por 3 horas, esto significa, no podra conec- 
tarse desde esa IP por 3 horas (y cambiar la IP de internet no siempre es un 
tramite sencillo), por lo tanto el atacante no puede hacer fuerzabruta en ese 
servicio 4 


9.5. Port Knocking 


La tecnica de seguridad conocida como “Port Knocking” consiste 
en utilizar, nuevamente, reglas de firewall combinadas con Address Lists para 
lograruna mayor seguridad. 

Veamoslo con un ejemplo practico, supongamos que se da un 
servicio (suficientemente crftico) a internet, digamos la administracion del fire- 
wall por medio de winbox, de cierta manera, utilizamos el firewall para obligara 
“tocar” una cierta combinacion de puertos (generalmente 3) para llegar, esto 
se hace de la siguiente manera: 


1. Cuando llegaun paqueteTCPal puerto 3456, se agrega la IP a la Address 
List Goipeo-Primer-Puerta por 1 minuto 

2. Cuando llegaun paqueteTCPal puerto 4321, que vienede la Address List 
Goipeo-Primer-Puerta, se agrega la IP a la Address List Golpeo- 
Segunda- Puerta por 1 minuto 

3. Aceptar todo trafico a TCP 8291 que venga desde un equipoenla Address 
List Golpeo-Segunda-Puerta por 1 minuto 

4 Un diccionario bien poblado de contrasenas, posee alrededor de 20 millones (no es ex- 
ageracion, investigando descargamos un diccionario que poseia 17.965.793 claves, en solo 100 
MB), lo que da a pensar, ya que, teniendo un bloqueo de 3 horas cada 5 intentos se podrian 
probar menos de 15000 en 1 ano de trabajo constante. Ya es solo como curiosidad mencionar, 
que llevanamas de 1300 anos probarlas todas... Conclusion: |E1 metodo es bueno! 
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Asi, el administrador del router debe primero intentar conectarse 
en el puerto 3456 (por supuesto sin exito aparente), luego al 4321, recien en- 
tonces, su IP esta habilitada para acceder al equipo por Winbox, una vez pasa- 
do un minuto, debera volvera comenzar (por supuesto cuando ya haya es- 
tablecido la conexion caera en una regia que acepte conexiones estableci- 
das). 


9.6. Buenas Practicas 


Se puede haber notado que los nombres de los servidores no son 
del todo “serios”, sin embargo, es parte de las buenas practicas de seguridad 
informatica que un ser vidor no haga referencia a su funcionen la red, por ejem- 
plo, si el servidorde RADIUS se llama freeradius, se sabe facilmenteque su fun- 
cion en la red es esa, y sera el primer equipo a atacar para robar una base 
de usuarios, es por eso que en muchas empresas los servidores se llaman como 
dioses (hercules, dalila, neptuno, etc.), como modelos de autos (diablo, focus, 
aveo, etc.) o personajesde TV (Homero, Marge, Lisa, etc.), es por esta razon 
que elegimosesos nombres para los servidores: 


larry: Servidorde archivos y web intranet - 10.50.0.2 
schemp: Servidorde RADIUS - 10.50.0.1 
curly: Servidorweb publico en DMZ- 10.200.0.1 
moe: Servidorweb simulando a Google- 5. 5. 5. 6 


Otra consideracion, casi fundamental, es queun usuario de cualquier 
recurso informatico, DEBE utilizar passwords fuertes, esto significa passwords que 
no sean obtenidasde un diccionario, que tengan 8 o mas caracteres, que 
tengan mayusculas, minusculas, numeros y simbolos especiales (por ejemplo: 
M!P4ssw0rd$), de esta manera uno es menos vulnereable a sufrir un ataque por 
fuerzabruta (o simplemente por prueba y error manual). 

Hay un tema mas que vale mencionar, y roza las cuestiones legales 
mas que las de seguridad informatica, es lo que se llama “titulo”, el titulo es un 
anuncioque se hace cuando unose conectaa un dispositivo incluso antes de 
validarse, el titulo puede ser por ejemplo: 


9.6. Buenas Practicas 
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Debian GNU/Linux 6.0 - Preparado para TDIII 


Los servicios informaticos atados a esta red de telecomunicaciones son 
propiedad de " TDIII El acceso a cualquiera de estos servicios esta 

controlado y se permite el ingreso unicamente a aquellos usuarios que han 
sido autorizados de forma especifica en virtud de su registro personal en 
uno o mas de estos servicios por los encargados de los mismos. 

No intente acceder a ningun servicio al que usted no tenga permiso. El 
uso desautorizado o erroneo de estos servicios puede ser considerado como 
una infraccion de la legislacion. 

Recuerde NUNCA publicar sus claves! 


Atentamente, Bertero - Valentini 


Figura9.10: Tftulo 


Sineste anuncio, no se puede penalizar a un intruso, y a que la red 
no avisaque no se puede acceder. 
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Lista de acronimos 


AP Access Point, Es el dispositivo que se utiliza para concentrar re- 

des inalambricas. Muchas veces se lo llama Punto de acceso en 
pafses hispanoparlantes 

ASCII American Standard Code for Information Interchange, Esun sis- 

tema de codificacion de caracteres basado en el orden del al- 
fabeto inges 

CSMACD Carrier Sense Multiple Access with Collision Detection, En caste- 

llano, . A cceso Multiple por Sensadode Portadoracon Deteccion 
de Colisiones", es una tecnica usada en redes Ethernet para 
mejorar sus prestaciones. 

DMZ Demilitarized Zone, Es una zona de seguridad media de una red, 

tiene por caracteristica principal no tener permitido abrir cone- 
xioneshacia la red de seguridad superior con la que convive 

DSSS Espectro de Dispersion de Secuencia Directa, Uno de los primeros 

estandares sobre redes inalambricas 

FCC Federal Communications Commission, Ente encargado de ges- 

tionar las normas sobre comunicaciones 

IANA Internet Assigned Numbers Authority, Ente que controlael numero 

para protocolos, el codigo de pais de dominiosde nivel primario 
y mantiene las asignaciones de direccionesIP 

ICANN Internet Corporation for Assigned Names and Numbers, Ente sin 

fines de lucro que vela por la seguridad, estabilidad e interoper- 
abilidadde internet 

RADIUS Remote Authentication Dial-In User Service, Esun serviciode val- 

idacion y estadfsticas de usuarios 

ROI Return Of Invest, El Retorno de la inversion (ROI por sus siglas en 

ingles)esuna relacion que compara el beneficio o la utilidad 
obtenidaen relacion a la inversion realizada. 
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TCO Total Cost of Ownership, El coste total de propiedad (proveniente 

del termino anglosajon Total Cost of Ownership), es un metodo 
de calculo disenado para ayudar a los usuarios y a los gestores 
empresariales a determinar los costes directos e indirectos, asi 
como los beneficios, relacionados con la compra de equiposo 
programas informaticos. 

WLAN Wireless Local Area Network, Termino que se utiliza usualmente 

para referirse a redes Wi-Fi 
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